2024 年 3 月 13 日星期三,Let's Encrypt 生成了 10 对新的中间 CA 密钥,并颁发了 15 个包含新公钥的新的中间 CA 证书。这些新的中间证书为 Let's Encrypt 订阅者提供了更小、更高效的证书链,在速度、安全性和可访问性方面提升了整体在线体验。

首先,回顾一下历史。2020 年 9 月,Let's Encrypt 颁发了新的根证书和中间证书集合。这些证书帮助我们通过使 ECDSA 终端实体证书广泛可用,从而提高网络安全的隐私性和效率。但是,这些中间证书即将到期,因此需要对其进行替换。

我们新的一批中间证书与 2020 年颁发的中间证书非常相似,只是做了一些细微的更改。我们将介绍这些更改内容以及更改原因。

新证书

我们创建了 5 个新的 2048 位 RSA 中间证书,其名称从 R10 到 R14 按顺序排列。这些证书由 ISRG Root X1 颁发。您可以将它们视为我们现有 R3 和 R4 中间证书的直接替代品。

我们还创建了 5 个新的 P-384 ECDSA 中间证书,其名称从 E5 到 E9 按顺序排列。每个证书都由两个证书表示:一个由 ISRG Root X2 颁发(与我们现有的 E1 和 E2 完全一样),另一个由 ISRG Root X1 颁发(或交叉签名)。

您可以在我们的更新的层次结构页面上查看所有证书的详细信息。

Let’s Encrypt 2024 Ceremony

轮换颁发

轮换我们颁发的中间证书集有助于保持互联网的灵活性和安全性。它鼓励自动化和效率,并阻止诸如密钥固定之类的过时做法。“密钥固定”是一种做法,其中客户端(无论是获取其网站证书的 ACME 客户端,还是连接到其自身后端服务器的应用程序)都决定只信任单个颁发中间证书,而不是将信任委托给系统信任存储。更新固定密钥是一个手动过程,这会导致错误风险增加以及潜在的业务连续性故障。

中间证书通常每五年更换一次,因此这种结合很少使用,客户端软件会不断犯同样的错误。将生命周期从五年缩短到三年意味着我们将在两年后,也就是这些新创建的证书到期之前,进行另一次仪式。这样确保我们比过去更频繁地使用这种结合。

这次我们还颁发了更多中间证书。从历史上看,我们每种密钥类型(RSA 和 ECDSA)都有两个:一个用于主动颁发,另一个作为紧急情况的备份。展望未来,我们将有五个:两个用于主动颁发,两个等待约一年后推出,一个用于紧急备份。对所选颁发机构的密钥类型进行随机化意味着无法预测将从哪个中间证书颁发证书。我们非常希望这些步骤能够完全阻止中间密钥固定,并帮助 WebPKI 向前发展。

这些较短的中间证书生命周期和随机化的中间证书颁发不会影响普通互联网用户的在线体验。如果订阅者固定了我们的某个中间证书,他们可能会受到影响,但这应该非常罕见。

提供更短的链

当我们在 2020 年颁发 ISRG Root X2 时,我们决定从 ISRG Root X1 对其进行交叉签名,以便即使是在信任存储中尚未包含 ISRG Root X2 的系统也能信任它。这意味着想要从我们的 ECDSA 中间证书获取颁发的订阅者有两种选择:他们可以选择一个非常短的仅包含 ECDSA 的链,但兼容性较低,该链以 ISRG Root X2 结尾;或者他们可以选择一个更长、兼容性更高的链,该链以 ISRG Root X1 结尾。当时,这种权衡(TLS 握手大小与兼容性)似乎是一个合理的权衡方案,我们默认提供了兼容性更高的链,以支持尽可能多的配置。

现在大多数平台都信任 ISRG Root X2,我们可以提供相同选择的改进版本。对于想要以牺牲一些兼容性为代价优化 TLS 握手的订阅者,仍然可以使用非常短的仅包含 ECDSA 的链。但是,兼容性更高的链将得到大幅改进:它不再包含两个中间证书(E1 和交叉签名的 ISRG Root X2),而是仅包含一个中间证书:我们新的 ECDSA 中间证书之一,由 ISRG Root X1 交叉签名。

这将我们默认 ECDSA 链的大小缩短了大约三分之一,是朝着消除我们的ECDSA 允许列表迈出的重要一步。

其他细微更改

我们还做了一些其他微小的更改,值得一提,但不会影响订阅者和客户端使用我们证书的方式。

  • 我们已更改了主题密钥标识符字段的计算方式,从公钥的 SHA-1 哈希值更改为相同数据的截断 SHA-256 哈希值。尽管这种 SHA-1 的使用在密码学上并不重要,但消除对该已损坏算法的另一种使用仍然很好,有助于创建一个密码库不再需要包含 SHA-1 支持的世界。

  • 我们已从证书策略扩展中删除了我们的 CPS OID。这节省了证书中的几个字节,可以节省大量带宽,这些带宽是在数十亿次 TLS 握手过程中节省的。

这两项更改都与我们去年对订阅者证书做出的相同更改相一致。

部署

我们打算在未来几个月内将每种新的 RSA 和 ECDSA 密钥中的两个投入轮换。每种密钥类型将有两个准备在未来某个时间进行交换,一个将作为应急储备。

不熟悉论坛?它是 Let's Encrypt 发布关于我们的颁发技术API的更新的地方。您也可以在这里获得来自社区专家和 Let's Encrypt 员工的故障排除帮助。查看它并订阅技术更新的提醒。

我们希望这次关于我们新中间证书的介绍有趣且信息丰富,我们期待着继续改进互联网,一次一个证书。

为了提供我们的服务,我们依靠来自用户和支持者社区的贡献。如果您的公司或组织希望赞助 Let's Encrypt,请发送电子邮件至sponsor@letsencrypt.org。如果您有能力,请个人捐款