lencr.org

最近更新: | 所有文档

lencr.org 是什么?

lencr.org 是 Let’s Encrypt 旗下的一个域名。 我们颁发的证书中有部分数据指向该域名。

我的电脑为什么会从这个网站获取数据? 这是恶意的吗?

不,lencr.org 网站上没有任何恶意数据。 设备会连接到 lencr.org 是因为设备上的软件(比如浏览器或应用)连接了另外一个使用 Let’s Encrypt 证书的网站,正在核实证书是否有效。 这是很多客户端的正常流程。

我们无法断言上述的另外一个网站是否存在风险, 如果您正在调查异常的网络活动,或许应该关注与 lencr.org 紧邻的上一条连接。

客户端与 lencr.org 之间的连接模式可能较为反常,没有规律可循。 有些客户端从来不会从该网站获取数据,有些则只下载部分数据,或者出于性能考虑缓存了部分数据,因此只会偶尔(首次下载以及数据过期后)建立连接。

数据内容究竟是什么?

客户端程序(比如浏览器或应用)连接网站并收到一份证书时,需要核实证书是否真实有效。 以下数据可以从各个角度帮助客户端达成这一目的。

为什么连接 o.lencr.org 使用的是不安全的 HTTP 协议?

OCSP 数据都是通过 HTTP 协议明文传输的。 如果要用 HTTPS,客户端就必须再通过 OCSP 协议验证 OCSP 服务器的证书,导致无限循环。

OCSP 服务器响应的数据本身就含有时间戳,并且经过数字签名,所以这种情况下不需要 TLS 的防篡改机制。

为什么用 “lencr.org"?

我们也用过更长的网址,比如 http://ocsp.int-x3.letsencrypt.org/。 但在颁发新的根证书和中间证书时,我们决定尽可能缩短网址的长度。 每天有数十亿 HTTPS 连接在互联网上建立,每条连接都要传输一份证书,因此证书的每个字节都举足轻重。 我们选择 lencr.org 因为它与我们的名称相似: Let’s ENCRypt。 其读法类似 Terry Pratchett 所著小说《碟形世界》中名为 Lancre 的虚构地区。