Let's Encrypt

Vertrauenskette

Letzte Änderung:

Hinweis: Die englische Version wurde seit der Übersetzung aktualisiert () Auf Englisch anzeigen

ISRG-Zertifikatshierarchiediagramm, Stand Dezember 2020

Wurzelzertifikate (Root-Zertifikate)

Unsere Wurzelzertifikate (Root-Zertifikate) werden sicher, vom Internet getrennt, aufbewahrt. Wir stellen Anwenderzertifikate aus, welche durch die in dem folgenden Abschnitt beschriebenen Zwischenzertifikate (Intermediate-Zertifikate) signiert wurden. Während wir unsere neue Root X2 verschiedenen Root-Programmen vorlegen, haben wir sie für zusätzliche Kompatibilität mit Root X2 quersigniert (“cross-signed”).

Wir haben Webseiten zum Testen der Zertifikatsketten zu unseren aktiven Root-Zertifikaten erstellt.

Zwischenzertifikate (Intermediate-Zertifikate)

Unter normalen Umständen kommen Zertifikate, die von Let’s Encrypt ausgestellt worden, von R3, einem RSA-Zwischenzertifikat. Wir haben auch ein neues ECDSA-Zwischenzertifikat (“E1”) ausgestellt, mit welchem wir in Kürze ebenfalls signieren werden. Diese Seite wird aktualisiert, sobald die Umsetzung abgeschlossen wurde.

Unsere anderen Zwischenzertifikate (“R4” und “E2”) sind für die Notfallwiederherstellung (Disaster-Recovery) vorgesehen und werden nur genutzt, wenn wir die Möglichkeit verlieren mit unseren primären Zwischenzertifikaten zu signieren. Wir nutzen die X1-, X2-, X3-, und X4-Zwischenzertifikate nicht mehr.

IdenTrust hat unsere RSA-Zwischenzertifikate für zusätzliche Kompatibilität quersigniert.

Quersignaturen (Cross-Signaturen)

Jedes unserer Zwischenzertifikate besteht aus einem einzelnen Schlüsselpaar (öffentlich und privat, public / private). Der private Schlüssel generiert die Signatur für alle Anwenderzertifikate (auch bekannt als “Leaf”-Zertifikate), z. B. die Zertifikate, die wir für Ihren Server ausstellen.

Unsere RSA-Zwischenzertifikate (intermediate-Zertifikate) sind signiert durch ISRG Root X1. Dem ISRG Wurzelzertifikat (Root-Zertifikat) wird breitflächig vertraut, aber unsere RSA-Zwischenzertifikate werden immer noch durch IdenTrusts “DST Root CA X3” (heute “TrustID X3 Root”) signiert um eine zusätzliche Kompatibilität zu erreichen. Das IdenTrust Wurzelzertifikat ist schon seit längerer Zeit gültig und hat daher eine höhere Kompatibilität mit älteren Geräten und Betriebssystemen (z. B. Windows XP und Android 7). Sie können “TrustID X3 Root” von IdenTrust herunterladen (oder alternativ können Sie eine Kopie von uns herunterladen).

Cross-signieren bedeutet, dass jedes unserer RSA-Zwischenzertifikate zwei öffentliche Schlüssel hat, die beide für den selben privaten Schlüssel gelten. Einer ist durch DST Root CA X3 signiert und der andere durch ISRG Root X1. Der einfachste Weg, die zwei zu unterscheiden, ist in das Aussteller-Feld (Issuer-Feld) zu schauen.

Wenn ein Webserver konfiguriert wird, konfiguriert der Serverbetreiber nicht nur das Anwenderzertifikat, sondern auch eine Liste von Zwischenzertifikaten, um den Browsern eine Verifizierung der Vertrauenskette vom Anwenderzertifikat bis zum vertrauten Wurzelzertifikat zu vereinfachen. Fast alle Serverbetreiber werden eine Zertifikatskette mit dem Zwischenzertifikat “R3” und dem Aussteller “DST Root CA X3” auswählen. Die empfohlene Let’s Encrypt Software, Certbot, wird diese Konfiguration nahtlos vornehmen.

OCSP-Signaturzertifikat

Dieses Zertifikat wird benutzt um OCSP-Antworten für die Let’s Encrypt Authority Zwischenzertifikate zu signieren, damit wir das Wurzelzertifikat (Root-Zertifikat) nicht dafür online halten müssen. Eine Kopie dieses Zertifikats ist automatisch in jeder OCSP-Antwort enthalten, sodass Nutzer nichts weiter tun müssen. Es ist hier nur zu Informationszwecken enthalten.

Unsere neuen Zwischenzeritfikate haben keine OCSP URLs (ihre Widerrufsinformation wird stattdessen als CRL bereitgestellt), weshalb wir kein OCSP-Signaturzertifikat durch ISRG Root X2 erstellt haben.

Certificate Transparency

Wir haben uns der Transparenz in unserem Betrieb und in den Zertifikaten, die wir ausstellen, verschrieben. Wir übermitteln alle Zertifikate an die Certificate Transparency logs, noch während wir sie ausstellen. Sie können sich alle Zertifikate, die von Let’s Encrypt ausgestellt wurden, mit diesen Links ansehen: