Let's Encrypt

信任链

Se på Dansk

Auf Deutsch ansehen

View in Greek

Ver en español

Katso suomeksi

Voir en Français

לעבור לעברית

Megtekintés magyar nyelven

Lihat dalam Bahasa Indonesia

日本語で表示する

한국어로 보기

Просмотреть на русском

Pročitaj na Srpskom

Visa på svenska

Переглянути українською

阅读简体中文页面

使用正體中文閲讀本網頁。

上次更新时间:

此页面介绍了 Let's Encrypt 操作的所有当前和相关的历史证书颁发机构。请注意,证书颁发机构最准确地被认为是一个密钥和一个名称:任何给定的证书颁发机构都可以由 _多个_ 证书表示,所有这些证书都包含相同的主题和公钥信息。在这种情况下,我们提供了所有代表证书颁发机构的证书的详细信息。

ISRG Certificate Hierarchy Diagram, as of June 2024

根证书颁发机构

我们的根密钥材料安全地保存在离线状态。我们从下一节中描述的中介机构向订阅者颁发最终实体证书。所有根证书主题的国家字段均为 C = US

请注意,根证书颁发机构的到期日期与其他证书不同。虽然它们的自我签署证书确实包含 notAfter 日期,但根程序和信任存储可能决定在该日期之后信任根证书颁发机构,或在该日期之前终止对它的信任。因此,下面给出的有效期结束日期是近似的,基于当前的根程序策略。

有关我们的根证书与各种设备和信任存储的兼容性的更多信息,请参见 证书兼容性

下级(中间)证书颁发机构

我们目前维护四个处于活动轮换状态的中介机构。包含 ECDSA 公钥的订阅者证书将从其中一个 ECDSA 中介机构颁发;类似地,包含 RSA 公钥的订阅者证书将从其中一个 RSA 中介机构颁发。

所有中间证书主题的国家字段均为 C = US

点击下面了解其他不属于活动颁发层次结构的中间机构的详细信息

备份

这些中间证书颁发机构目前具有有效证书,但没有从它们颁发证书。我们可能会在任何时候开始从它们颁发订阅者证书,恕不另行通知。

  • Let's Encrypt E7
    • 主题:O = Let's Encrypt, CN = E7
    • 密钥类型:ECDSA P-384
    • 有效期:直到 2027-03-12
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X2 签署):derpemtxt
    • 证书详细信息(由 ISRG Root X1 跨签署):derpemtxt
  • Let's Encrypt E8
    • 主题:O = Let's Encrypt, CN = E8
    • 密钥类型:ECDSA P-384
    • 有效期:直到 2027-03-12
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X2 签署):derpemtxt
    • 证书详细信息(由 ISRG Root X1 跨签署):derpemtxt
  • Let's Encrypt E9
    • 主题:O = Let's Encrypt, CN = E9
    • 密钥类型:ECDSA P-384
    • 有效期:直到 2027-03-12
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X2 签署):derpemtxt
    • 证书详细信息(由 ISRG Root X1 跨签署):derpemtxt
  • Let's Encrypt R12
    • 主题:O = Let's Encrypt, CN = R12
    • 密钥类型:RSA 2048
    • 有效期:直到 2027-03-12
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X1 签署):derpemtxt
  • Let's Encrypt R13
    • 主题:O = Let's Encrypt, CN = R13
    • 密钥类型:RSA 2048
    • 有效期:直到 2027-03-12
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X1 签署):derpemtxt
  • Let's Encrypt R14
    • 主题:O = Let's Encrypt, CN = R14
    • 密钥类型:RSA 2048
    • 有效期:直到 2027-03-12
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X1 签署):derpemtxt
已停用

这些中间证书颁发机构不再用于颁发订阅者证书。那些仍然具有有效证书的证书颁发机构可能会生成 OCSP 响应和/或 CRL。

  • Let's Encrypt E1
    • 主题:O = Let's Encrypt, CN = E1
    • 密钥类型:ECDSA P-384
    • 有效期:直到 2025-09-15
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X2 签署):crt.shderpemtxt
  • Let's Encrypt E2
    • 主题:O = Let's Encrypt, CN = E2
    • 密钥类型:ECDSA P-384
    • 有效期:直到 2025-09-15
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X2 签署):crt.shderpemtxt
  • Let's Encrypt R3
    • 主题:O = Let's Encrypt, CN = R3
    • 密钥类型:RSA 2048
    • 有效期:直到 2025-09-15
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X1 签署):crt.shderpemtxt
    • 证书详细信息(由 IdenTrust 跨签署):crt.shderpemtxt
  • Let's Encrypt R4
    • 主题:O = Let's Encrypt, CN = R4
    • 密钥类型:RSA 2048
    • 有效期:直到 2025-09-15
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X1 签署):crt.shderpemtxt
    • 证书详细信息(由 IdenTrust 跨签署):crt.shderpemtxt
  • Let's Encrypt Authority X1
    • 主题:O = Let's Encrypt, CN = Let's Encrypt Authority X1
    • 密钥类型:RSA 2048
    • 有效期:已过期 2020-06-04
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X1 签署):crt.shderpemtxt
    • 证书详细信息(由 IdenTrust 跨签署):crt.shderpemtxt
  • Let's Encrypt Authority X2
    • 主题:O = Let's Encrypt, CN = Let's Encrypt Authority X2
    • 密钥类型:RSA 2048
    • 有效期:已过期 2020-06-04
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X1 签署):crt.shderpemtxt
    • 证书详细信息(由 IdenTrust 跨签署):crt.shderpemtxt
  • Let's Encrypt Authority X3
    • 主题:O = Let's Encrypt, CN = Let's Encrypt Authority X3
    • 密钥类型:RSA 2048
    • 有效期:已过期 2021-10-06
    • 证书颁发机构详细信息:crt.sh颁发的证书
    • 证书详细信息(由 ISRG Root X1 签署):crt.shderpemtxt
    • 证书详细信息(由 IdenTrust 交叉签名):crt.shderpemtxt
  • Let's Encrypt Authority X4
    • 主题:O = Let's Encrypt, CN = Let's Encrypt Authority X4
    • 密钥类型:RSA 2048
    • 有效期:已过期 2021-10-06
    • CA 详细信息:crt.sh已颁发证书
    • 证书详细信息(由 ISRG Root X1 签名):crt.shderpemtxt
    • 证书详细信息(由 IdenTrust 交叉签名):crt.shderpemtxt
委托 OCSP 响应器

这套密钥对以前用于代表 Let's Encrypt 的根证书签署关于 Let's Encrypt 中间证书状态的 OCSP 响应,以便根证书能够安全地离线。我们不再为我们的中间证书发布 OCSP 响应;而是定期从我们的根证书发布 CRL 来传达我们中间证书的吊销状态。

  • ISRG Root OCSP X1
    • 主题:O = Internet Security Research Group, CN = ISRG Root OCSP X1
    • 密钥类型:RSA 2048
    • 有效期:截至 2025-06-10
    • 证书详细信息(由 ISRG Root X1 签名):crt.shderpemtxt
    • 证书详细信息(由 ISRG Root X1 签名):crt.sh(已过期)

当 ACME 客户端从 Let's Encrypt 的 ACME API 下载新颁发的证书时,该证书将作为“链”的一部分提供,该链还包含一个或多个中间证书。通常,此链仅包含最终实体证书和一个中间证书,但它可能包含其他中间证书。其目的是,通过将此整个证书链呈现给网站访问者的浏览器,浏览器将能够验证所有签名,一直到浏览器信任的根证书,而无需下载任何其他中间证书。

有时,给定证书可能存在多个有效链:例如,如果某个中间证书已交叉签名,那么这两个证书中的任何一个都可以作为第二个条目,并“链接到”两个不同的根证书之一。在这种情况下,不同的网站运营商可能希望根据他们最关心的属性选择不同的链。

使用 RSA 公钥的订阅者证书是从我们的 RSA 中间证书颁发的,这些证书仅从我们的 RSA 根证书 ISRG Root X1 颁发(即它们没有交叉签名)。因此,所有 RSA 订阅者证书只有一个可用的链

RSA 订阅者证书 ← RSA 中间证书(R10 或 R11)← ISRG Root X1

使用 ECDSA 公钥的订阅者证书是从我们的 ECDSA 中间证书颁发的,这些证书既从我们的 RSA 根证书 ISRG Root X1 又从我们的 ECDSA 根证书 ISRG Root X2 颁发(即已交叉签名)。因此,我们为这些证书提供两条链

ECDSA 订阅者证书 ← ECDSA 中间证书(E5 或 E6)← ISRG Root X1

ECDSA 订阅者证书 ← ECDSA 中间证书(E5 或 E6)← ISRG Root X2

到 ISRG Root X1 的第一条链提供了最大的兼容性,因为该根证书包含在大多数信任存储中。到 ISRG Root X2 的第二条链在每个 TLS 握手期间消耗的网络带宽更少。我们默认提供第一条链,以确保最广泛的兼容性。希望优先考虑大小而不是兼容性的订阅者可以参考其 ACME 客户端的文档,了解有关如何请求备用链的说明(例如,certbot 的 --preferred-chain 标志)。