Let's Encrypt
2015年推出的数字证书认证机构
Let's Encrypt是一个于2015年三季度推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,並推廣使萬維網服務器的加密連接無所不在,为安全网站提供免费的傳輸層安全性協定(TLS)证书。[2][3]
 | |
| 成立時間 | 2016年4月12日 |
|---|---|
| 創始人 | |
| 總部 |  美國加利福尼亚州旧金山 |
| 坐標 | 37°48′01″N 122°27′00″W / 37.800322°N 122.449951°W坐标:37°48′01″N 122°27′00″W / 37.800322°N 122.449951°W |
| 服務 | X.509数字证书认证机构 |
上級組織 | 網際網路安全研究小組 |
預算(2019) | 360万美元[1] |
| 員工数 (2019) | 13人[1] |
| 網站 | letsencrypt |
介紹编辑
Let's Encrypt由互联网安全研究小组(缩写ISRG)提供服务。主要赞助商包括电子前哨基金会、Mozilla基金会、Akamai以及思科。2015年4月9日,ISRG与Linux基金會宣布合作。[4]
用以实现新的数字证书认证机构的协议被称为自动证书管理环境(ACME)。[5]GitHub上有这一规范的草案,[5][6]且提案的一个版本已作为一个Internet草案发布。[7]
Let's Encrypt宣称这一过程将十分简单、自动化并且免费。[8]
歷史编辑
2015年8月7日,该服务更新其推出计划,预计将在2015年9月7日发布首个证书,随后向列入白名单的域名发行少量证书并逐渐扩大发行量。[9]
2015年12月3日,服务进入公测阶段,正式面向公众。[10]
2016年3月8日,ISRG宣布已经签发了第一百万张证书。[11]
2016年4月12日,该项目正式离开Beta阶段。[12]
技术编辑
2015年6月,Let's Encrypt得到了一个存储在硬件安全模块中的离线的RSA根证书。这个由IdenTrust证书签发机构交叉签名的根证书,被用于签署两个证书。其中一个就是用于签发请求的证书,另一个则是保存在本地的证书,这个证书用于在上一个证书出问题时作备份证书之用。因为IdenTrust的CA根证书目前已被预置于主流浏览器中,所以Let's Encrypt签发的证书可以从项目开始时就被识别并接受,甚至在用户的浏览器中没有信任ISRG的根证书时也没问题[15]。为了解决对Windows XP的兼容性,目前Let's Encrypt已经获取了另外两个根证书,原来的证书作为备用。[15]
Let's Encrypt的开发者们本计划在2015年年末推出签发ECDSA根证书的服务,但该计划已经经历三次推迟,目前定于2018年3月前完成。[16]
2017年6月,Let's Encrypt宣布将于2018年1月启用ACME v2 API。[17]
中国大陆屏蔽编辑
2020年4月2日,防火长城对Let's Encrypt的OCSP服务器(ocsp.int-x3.letsencrypt.org)所使用的Akamai CDN域名a771.dscq.akamai.net进行了DNS污染,导致部分浏览器首次访问使用Let's Encrypt证书的网站时无法完成OCSP检查,加载缓慢。[19]
2020年11月20日,Let's Encrypt 推出了 R3 中间证书,使用了新的 OCSP 服务器地址(r3.o.lencr.org),问题得到解决[20]。
参考资料编辑
- ^ 1.0 1.1 Aas, Josh. Looking Forward to 2019. Let's Encrypt. December 31, 2019 [January 26, 2019]. (原始内容存档于2020-11-07) (英语).
- ^ Kerner, Sean Michael. Let's Encrypt Effort Aims to Improve Internet Security. eWeek.com. Quinstreet Enterprise. November 18, 2014 [February 27, 2015].[失效連結]
- ^ Eckersley, Peter. Launching in 2015: A Certificate Authority to Encrypt the Entire Web. Electronic Frontier Foundation. November 18, 2014 [February 27, 2015]. (原始内容存档于2018-05-10).
- ^ ISRG and The Linux Foundation to Collaborate. (原始内容存档于2020-10-25).
- ^ 5.0 5.1 Let's Encrypt – Get Involved. [2015-07-05]. (原始内容存档于2021-01-12).
- ^ Draft ACME specification. [2015-07-05]. (原始内容存档于2014-11-21).
- ^ R. Barnes, P. Eckersley, S. Schoen, A. Halderman, J. Kasten. Automatic Certificate Management Environment (ACME) draft-barnes-acme-01. January 28, 2015 [2015-08-09]. (原始内容存档于2020-06-28).
- ^ Let's encrypt: How it works. (原始内容存档于2018-05-27).
- ^ Aas, Josh. Updated Let's Encrypt Launch Schedule. letsencrypt.org. Let's Encrypt. 7 August 2015 [9 August 2015]. (原始内容存档于2015-09-27).
- ^ Josh Aas. Entering Public Beta. letsencrypt.org. Let's Encrypt. [2016-07-16]. (原始内容存档于2015-12-08).
- ^ Josh Aas, ISRG Executive Director. Our Millionth Certificate. [2016-07-16]. (原始内容存档于2017-11-09).
- ^ Let's Encrypt Leaves Beta. LinuxFoundation.org. [17 April 2016]. (原始内容存档于2016年4月15日).
- ^ Milestone: 100 Million Certificates Issued - Let's Encrypt - Free SSL/TLS Certificates. letsencrypt.org. [2017-07-09]. (原始内容存档于2018-05-12) (英语).
- ^ Solidot | Let's Encrypt 市场份额突破 36%. [2017-11-22]. (原始内容存档于2017-12-01).
- ^ 15.0 15.1 Certificates - Let's Encrypt - Free SSL/TLS Certificates. letsencrypt.org. [2016-07-16]. (原始内容存档于2015-12-03).
- ^ Upcoming Features - Let's Encrypt - Free SSL/TLS Certificates. letsencrypt.org. [2017-09-21]. (原始内容存档于2021-01-23).
- ^ ACME v2 API Endpoint Coming January 2018 - Let's Encrypt - Free SSL/TLS Certificates. letsencrypt.org. [2017-07-09]. (原始内容存档于2020-11-10) (英语).
- ^ Wildcard Certificates Coming January 2018 - Let's Encrypt - Free SSL/TLS Certificates. letsencrypt.org. [2017-07-09]. (原始内容存档于2021-01-08) (英语).
- ^ Ocsp.int-x3.letsencrypt.org is not working in China. jsha. 2020-05-20 [2021-04-25]. (原始内容存档于2021-04-28) (英语).
- ^ Beginning Issuance from R3. aarongable. 2020-11-20 [2021-04-25]. (原始内容存档于2021-04-28) (英语).