עדכון אחרון: Feb 7, 2020

לתשומת לבך: הגרסה האנגלית נערכה מאז שתורגמה (Jan 20, 2021) מעבר לאנגלית

אישורים עליונים

האישורים העליונים שלנו נשמרים באופן מאובטח ללא חיבור לאינטרנט. אנו מנפיקים אישורי יישויות קצה למנויים מהמתווכים בסעיף הבא.

• פעיל
  • ISRG Root X1 (בחתימה עצמית)

הקמנו אתרים כדי לבדוק את שרשור האישורים לעליונים שלנו.

• אישור ISRG Root X1 תקף
  • https://valid-isrgrootx1.letsencrypt.org/
• אישור ISRG Root X1 שנשלל
  • https://revoked-isrgrootx1.letsencrypt.org/
• אישור ISRG Root X1 שתוקפו פג
  • https://expired-isrgrootx1.letsencrypt.org/

אישורים מתווכים

במצב רגיל, אישורים שהונפקו על ידי Let’s Encrypt יגיעו מ־„Let’s Encrypt Authority X3”. המתווך השני, „Let’s Encrypt Authority X4”, שמור להתאוששות ממקרי אסון ויעשה בו שימוש במקרה שתיבצר מאתנו האפשרות להנפיק בעזרת „Let’s Encrypt Authority X3”. איננו משתמשים במתווכים X1 ו־X2 עוד.

IdenTrust חתמו באופן צולב את אישורי התווך שלנו לשיפור התאימות.

• פעיל
  • Let’s Encrypt Authority X3 (חתימה צולבת של IdenTrust)
    • Let’s Encrypt Authority X3 (חתום על ידי ISRG Root X1)
• גיבוי
  • Let’s Encrypt Authority X4 (חתימה צולבת של IdenTrust)
    • Let’s Encrypt Authority X4 (חתום על ידי ISRG Root X1)
• בדימוס
  • Let’s Encrypt Authority X2 (חתימה צולבת של IdenTrust)
    • Let’s Encrypt Authority X2 (חתום על ידי ISRG Root X1)
  • Let’s Encrypt Authority X1 (חתימה צולבת של IdenTrust)
    • Let’s Encrypt Authority X1 (חתום על ידי ISRG Root X1)

חתימה צולבת

המתווך שלנו „Let’s Encrypt Authority X3” מייצג צמד מפתחות ציבורי/פרטי בודד. המפתח הפרטי של הצמד הזה מייצר חתימה לכל אישורי יישויות הקצה (מוכר גם בתור אישורי עלה), כמו למשל האישורים שאני מנפיקים לשימוש בשרת שלך.

אישור התווך שלנו חתום על ידי ISRG Root X1. העליון של ISRG נחשב מהימן באופן גורף בשלב זה, אך המתווך שלנו נחתם באופן צולב על ידי „DST Root CA X3” מבית IdenTrust (כעת שמו „TrustID X3 Root”) לתאימות לקוח משופרת. העליון של IdenTrust נמצא אתנו זמן רב יותר ולכן נתמך טוב יותר במכשירים ובמערכות הפעלה ישנים (למשל: Windows XP). ניתן להוריד את „TrustID X3 Root” מ־identrust.com (או, לחלופין, ניתן להוריד עותק מכאן: ‎.pem,‏ ‎.p7b).

משמעות החתימה הצולבת היא שיש שתי סדרות של אישורים מתווכים זמינים, שתיהן מייצגות את המתווך שלנו. האחת חתומה על ידי DST Root CA X3, והשנייה חתומה על ידי ISRG Root X1. הדרך הקלה ביותר להבדיל בין השתיים היא על ידי התבוננות בשדה המנפיק שלהן.

בעת הגדרת שרת אינטרנט, מפעיל השרת מגדיל לא רק את אישור יישות הקצה, אלא גם את רשימת אישורי התווך כדי לסייע לדפדפנים לאמת שלאישור יישות הקצה יש שרשרת מהימנות שמובילה לאישור עליון מהימן. כמעט כל מפעילי השרתים יבחרו להגיש שרשרת שכוללת את אישור התווך עם הנושא „Let’s Encrypt Authority X3” ועם המנפיק „DST Root CA X3”. רכיב התכנה המומלץ של Let’s Encrypt,‏ Certbot, יהפוך את ההגדרה הזאת לבלתי מורגשת.

התמונה הבאה מסבירה את הקשרים בין האישורים שלנו בצורה חזותית:

אישור חתימה OCSP

אישור זה משמש לחתימת תגובות OCSP עבור המתווכים של הרשות Let’s Encrypt, כדי שלא יהיה עלינו להעלות את המפתח העליון לרשת כדי לחתום על התגובות האלו. עותק של האישור הזה נכלל אוטומטית בתגובות OCSP אלו, לכן מנויים לא צריכים לעשות אתו דבר. הוא כלול כאן לצורכי הבנה בלבד.

• ISRG Root OCSP X1 (נחתם על ידי ISRG Root X1)

שקיפות אישורים

אנחנו מחויבים לשקיפות בפעילותנו ובאישורים שאנו מנפיקים. אנו מגישים את כל האישורים ליומני שקיפות האישורים בעת הנפקתם. ניתן לצפות בכל האישורים שהונפקו על ידי Let’s Encrypt דרך הקישורים שלהלן:

• הונפק על ידי Let’s Encrypt Authority X1
• הונפק על ידי Let’s Encrypt Authority X3

מידע נוסף

המפתחות הפרטיים עבור רשות האישורים העליונה של ISRG ורשויות האישורים המתווכות של Let’s Encrypt מאוחסות על מודולי אבטחה חומרתיים (HSMs), שמספקים דרגה גבוהה של הגנה נגד גניבת המפתחות.

כל מפתחות ה־ISRG הם מפתחות RSA נכון לעכשיו. אנחנו מתכננים לייצר מפתחות ECDSA.