Let's Encrypt

מגבלות מיכסה

עדכון אחרון: | הצגת כל התיעוד

Let’s Encrypt מספק מגבלות מיכסה כדי לוודא שימוש הגון עבור כמה שיותר אנשים במידת האפשר. אנו מאמינים שמגבלות מיכסות אלו הן גבוהות מספיק כדי שיספקו את רוב האנשים כבררת מחדל. תכננו אותן כך כדי שחידוש אישור כמעט אף פעם לא יגיע למגבלת המיכסה, וכדי שארגונים גדולים יוכלו להגדיל בהדרגה את מספק האישורים שהם יכולים להנפיק מבלי שתידרש התערבות מצד Let’s Encrypt.

אם כרגע עבודתך מתרכזת בבדיקת לקוח ל־Let’s Encrypt, נא להשתמש בסביבת ההכנה להקמה שלנו במקום ב־API של סביבת הפעילות המלאה. אם מטרתך היא לעבוד כדי לשלב את Let’s Encrypt כספק או עם אתר גדול, נא לעיין במדריך השילוב שלנו.

המגבלה העיקרית היא אישורים לשם תחום רשום (50 לשבוע). שם תחום רשום, בדרך כלל, הוא חלק משם התחום שרכשת מרשם שמות התחום שלך. למשל, בשם www.example.com, שם התחום הרשום הוא example.com. ב־new.blog.example.co.il, שם התחום הרשם הוא example.co.il. אנו משתמשים ברשימת הסיומות הציבורית כדי לחשב את שם התחום הרשום. חריגה מכמות האישורים לשם תחום רשום מדווחת עם הודעת השגיאה too many certificates already issued (כבר הונפקו יותר מדי אישורים), סביר להניח בצירוף פרטים על החריגה.

אם יש לך כמות גדולה של תת־שמות תחום, יתכן שמוטב לך לאחד אותם לאישור יחיד, עד מגבלה של 100 שמות לאישור. בשילוב עם המגבלה שלעיל, משמעות הדבר היא שבאפשרותך להנפיק אישורים שמכילים עד 5,000 תת־שמות תחום ייחודיים בשבוע. אישור עם מגוון שמות בדרך כלל נקרא אישור SAN, או לפעמים אישור UCC. לתשומת לבך: מטעמי ביצועים ואמינות, עדיף להשתמש בכמה שפחות שמות בכל תעודה ככל הניתן.

חידושים זוכים ליחס נפרד: הם לא מחושבים כחלק ממגבלת אישורים לשם תחום רשום אך הם כפופים למגבלת אישור כפול על סך 5 בשבוע. לתשומת לבך: בעבר חידושים חושבו כחלק ממגבלת אישורים לשם תחום רשום עד מרץ 2019, אך אינם מחושבים כך עוד. חריגה ממגבלת אישור כפול מדווחת עם הודעת השגיאה too many certificates already issued for exact set of domains (יותר מדי אישורים כבר הונפקו עבור אותה סדרה של שמות תחום).

אישור נחשב מחודש (או כפיל) של אישור קודם אם הוא מכיל את אותה סדרת שמות המארחים, עם התעלמות מאותיות קטנות/גדולות וסדר שמות המארחים. למשל, אם ביקשת אישור לשמות [www.example.com,‏ example.com], ניתן לבקש ארבעה אישורים נוספים עבור [www.example.com,‏ example.com] במהלך השבוע. אם החלפת את סדרת שמות המארחים על ידי הוספת [blog.example.com], תהיה לך אפשרות לבקש אישורים נוספים.

הטיפול בחידושים מתעלם מהמפתח הציבורי ומההרחבות שהתבקשו. הנפקת אישורים עשויה להיחשב כחידוש אפילו אם השתמשת במפתח חדש.

שלילת אישורים אינה מאפסת את מגבלת המיכסות, כיוון שהמשאבים שנוצלו לטובת הנפקת האישורים האלו כבר נצרכו.

יש מגבלת כישלון תיקוף על סך 5 כשלונות עבור חשבון, עבור שם מארח לשעה. מגבלה זו רחבה יותר בסביבת ההכנה להקמה שלנו, כדי לאפשר לך להשתמש בסביבה הזאת על מנת לאבחן בעיות חיבור. חריגה ממגבלת כישלון תיקוף מדווחת עם הודעת השגיאה too many failed authorizations recently (יותר מדי הרשאות כשלו לאחרונה).

על נקודות הגישה „new-reg”,‏ „new-authz”, ו־„new-cert” בגרסה 1 (v1) של ה־API ועל נקודות הגישה „new-nonce”,‏ „new-account”,‏ „new-order”, ו־„revoke-cert” בגרסה 2 (v2) של ה־API חלה מגבלת בקשות כללית על סך 20 לשנייה. על נקודת הגישה „‎/directory” ועל התיקייה „‎/acme” לרבות תת־תיקיותיה חלה מגבלת בקשות כללית של 40 בקשות לשנייה.

יש לנו שתי מגבלות נוספות שמאוד לא סביר להיתקל בהן.

ניתן ליצור עד 10 חשבונות לכל כתובת IP במשך 3 שעות. באפשרותך ליצור עד 500 חשבונות לטווח כתובות IP למחלקה ‎/48 ב־IPv6 בכל 3 שעות. הגעה למגבלת המיכסה של חשבון כלשהו היא נדירה מאוד ואנו ממליצים ליוצרי שילובים בקנה מידה גדול להעדיף לתכנן שימוש בחשבון אחד למגוון רחב של לקוחות. חריגה מהמגבלות האלו מדווחת עם הודעת השגיאה too many registrations for this IP (יותר מדי רישומים ל־IP זה) או too many registrations for this IP range (יותר מדי רישומים לטווח IP זה).

בחשבונך יכולות להיות עד 300 הרשאות ממתינות. הגעה למגבלת המיכסה היא דבר נדיר וקורה בדרך כלל בעת פיתוח לקוחות ACME. משמעות הדבר היא שהלקוח שלך יוצר הרשאות ולא ממלא את השלבים להשלמתן. נא להשתמש בסביבת ההכנה להקמה אם עיסוקך הוא פיתוח של לקוח ACME. חריגה ממגבלת הרשאות ממתינות מדווחת עם הודעת השגיאה too many currently pending authorizations (יותר מדי הרשאות ממתינות).

למשתמשים בגרסה 2 של ה־API של ACME ניתן ליצור עד 300 הזמנות חדשות עבור חשבון ל־3 שעות. הזמנה חדשה נוצרת עם כל בקשה של אישור מה־Boulder של רשות האישורים, כלומר שנוצרת הזמנה אחת חדשה על כל בקשת אישור. חריגה ממגבלת ההזמנות החדשות מדווחת עם הודעת השגיאה too many new orders recently (יותר מדי הזמנות חדשות לאחרונה).

מעקפים

אם הגעת למגבלת מיכסה, אין לנו דרך לאפס אותה באופן זמני. יהיה עליך להמתין עד לתפוגת תוקף מגבלת המיכסה לאחר שבוע. אנו משתמשים בחלון נע, לכן אם הנפקת 25 אישורים ביום שני ו־25 נוספים ביום שישי, תהיה לך אפשרות להנפיק שוב החל מיום שני. ניתן לקבל רשימת אישורים שהונפקו לשם התחום הרשום שלך על ידי חיפוש ב־crt.sh, שמשתמש ביומנים הציבוריים של שקיפות אישורים.

אם הנך נציגות מטעם ספקית אחסון גדולה או ארגון גדול שעובדים על שילוב מול Let’s Encrypt, יש לנו טופס הגבת מיכסות בו ניתן להשתמש כדי לבקש מגבלת מיכסות רחבה יותר. לוקח מספר שבועות לעבד בקשות, לכן הטופס הזה אינו מתאים אם עליך לאפס מגבלת מיכסה, כבר יקח פחות זמן למגבלה להתאפס עצמאית.

נא לשים לב שרוב ספקיות האחסון לא צריכות הרחבת מגבלת מיכסות, כיוון שאין מגבלה על כמות שמות התחום הנפרדים הרשומים שעבורים ניתן להנפיק. כך שכל עוד לרוב הלקוחות שלך אין יותר מ־2,000 שמות תחום עבור שם תחום רשום אחד, כנראה שאין צורך בהגדלת המיכסה. במדריך השילוב שלנו ניתן למצוא עצות נוספות.

פינוי הרשאות ממתינים

אם יש לך מספר גדול של פריטים הממתינים להרשאה וקיבלת שגיאת הגבלת מיכסה על הרשאות ממתינות, ניתן להפעיל ניסיון תיקוף לפריטי הרשאה אלו על ידי הגשת POST עם חתימת JWS לאחד מהאתגרים שלו, כפי שמתואר במפרט של ACME. הפריטים הממתינים להרשאה מיוצגים על ידי כתובות בצורה https://acme-v02.api.letsencrypt.org/acme/authz/XYZ, והם אמורים להופיע ביומני הלקוח שלך. נא לשים לב שזה לא משנה אם התיקוף מצליח או נכשל. כל אחד מהמצבים האלה יוציא את ההרשאה ממצב ‚המתנה’. אם אין לך יומנים שמכילים את כתובות ההרשאה המתאימות, עליך להמתין שתוקף מגבלת המיכסה יפוג. כפי שמתואר להלן, יש חלון נע, לכן ההמתנה עשויה לארוך למעלה משבוע בהתאם לדפוס ההנפקה שלך.

נא לשים לב שמספר גדול של הרשאות ממתיניות הוא בדרך כלל תוצר של תכנית לקוח פגומה. אם מזדמן לך להגיע למגבלת המיכסה לעתים קרובות, כדאי לבחון היטב את קוד תכנית הלקוח שלך.