Let's Encrypt

lencr.org

עדכון אחרון: | הצגת כל התיעוד

מה זה lencr.org?

lencr.org הוא שם תחום בשליטת Let’s Encrypt. אנו משתמשים בו לאחסון נתונים שמוזכרים באישורים שאנו מנפיקים.

למה המחשב שלי מושך את הנתונים האלה? מדובר במשהו זדוני?

לא, הנתונים שב־lencr.org אף פעם אינם זדוניים. כאשר מכשיר מתחבר ל־lencr.org, זה בגלל שתוכנת לקוח במכשיר הזה (כגון דפדפן או יישום) מחוברים לאתר אחר, ראתה את האישור של Let’s Encrypt והיא מנסה לאמת אותו. זאת התנהלות שגרתית במגוון רחב של לקוחות.

לא נוכל להתחייב האם ההאתר האחר שאליו התחברת הוא זדוני. אם חקרת פעילות רשת שנראית חריגה, כנראה שכדאי להתמקד בחיבור שהופעל ממש עכשיו לפי החיבור ל־lencr.org.

תבנית חיבורי הלקוחות ל־lencr.org יכולה להיראות חריגה או לסירוגין. יכול להיות שלקוחות אף פעם לא יקבלו את הנתונים האלו, אלא רק יקבלו חלקים קטועים ממנו או „ישמרו במטמון” חלק מהנתונים למטרות ייעול, כך שייגשו אליו רק לפעמים (בפעם הראשונה שהם צריכים אותו וכשתוקף הנתונים פג).

למה בדיוק משמשים הנתונים האלה?

כאשר תוכנת לקוח (כגון דפדפן או יישום) מתחברים לאתר, והאתר מציג אישור, הלקוח צריך לאמת שהאישור הזה אמיתי ותקף. הנתונים האלו מסייעים ללקוח לעשות זאת במגוון דרכים.

למה החיבורים ל־o.lencr.org הם על גבי HTTP לא מאובטח?

תגובות OCSP תמיד מוגשות דרך HTTP. אם הן תוגשנה דרך HTTPS, תיווצר בעיית „לולאה אינסופית”: כדי לאמת את אישור השרת של ה־OCSP, הלקוח יצטרך להשתמש ב־OCSP.

התגובה של ה־OCSP בעצמה מוחתמת זמן וקריפטוגרפית, כך שמאפייני מניעת חבלה של TLS אינם נחוצים במקרה שכזה.

למה „lencr.org”?

בעבר השתמשנו בכתובות ארוכות כגון http://ocsp.int-x3.letsencrypt.org/. עם זאת, כשהנפקנו את אישור העל והתווך החדשים שלנו, רצינו להקטין אותם ככל האפשר. על כל חיבור HTTPS באינטרנט (מיליארדים ביום) לשלוח עותק של אישור, לכן, כל בית קובע. בחרנו ב־lencr.org עקב הדימיון לשם שלנו: Let’s ENCRypt. אנו מבטאים אותו כמו שם המחוז הדמיוני Lancre (לַאנקֵר) בסדרת ספרי עולם הדיסק מאת טרי פראצ׳ט.