Let's Encrypt Ubuntu

Let's Encrypt 可以定义为一个由 ISRG（Internet Security Research Group）运营的非营利性证书颁发机构，它提供用于 TLS（传输安全加密）的 X.509 证书。它是世界上最大的证书，被 3 亿多个网站使用，其目标是让每个网站都安全并使用 HTTPS。ISRG，即服务提供商，是一家公共利益组织。主要赞助商包括 Bill and Melinda Gates Foundation、NGINX、AWS、Internet Society、Google Chrome、Facebook、Cisco Systems、OVH、The Mozilla Foundation 和 EFF（Electronic Frontier Foundation）。其他合作伙伴包括 Linux Foundation、密歇根大学以及证书颁发机构 IdenTrust。

对于该组织而言，其使命是通过推广 HTTPS 的广泛应用，来创造一个更注重隐私和更安全的万维网。这些证书的有效期为 90 天，在此期间可以随时进行续订。它由一个自动化流程管理，该流程旨在克服手动续订、安装、签名、验证和创建网站证书的繁琐。只需执行两个命令，即可在 Linux Web 服务器上配置 HTTPS 加密并继承和安装证书。

为此，一个应用程序包已包含在官方的 Ubuntu 和 Debian 软件存储库中。Google 和 Mozilla 等浏览器开发商最新的倡议，如弃用 HTTP（未加密），依赖于 Let's Encrypt 的存在。该项目被认为有潜力实现整个 Web 的加密连接作为默认情况。

• 该服务仅颁发域验证证书，因为这些证书可以完全自动化。
• 扩展验证和组织验证证书都需要任何注册人的人工验证，因此 Let's Encrypt 不提供这些证书。
• 通配符和 ACME v2 证书支持也于 2018 年 3 月添加。
• Let's Encrypt 在 2002 年使用 DV（域验证），并且最初在 GeoTrust 公布时引起争议，之后它成为 SSL 证书发行的一种被广泛采用的技术。
• 该组织希望通过尽可能保持透明来保护其信誉和可信度，使其免受操纵和攻击。
• 为此，它定期发布透明度报告，公开记录每一次 ACME 交易，并尽可能使用免费和开放的标准软件。

Let's Encrypt 的历史

该项目于 2012 年由 Mozilla 的两名员工 Eric Rescorla 和 Josh Aas，以及 EFF 的 Peter Eckersley 和密歇根大学（U-M）的 J. Alex Halderman 发起。ISRG 于 2013 年 5 月成立，即 Let's Encrypt 背后的公司。Let's Encrypt 于 2014 年 11 月 18 日公开发布。
正式来说，ACME 协议于 2015 年 1 月 28 日提交给 IETF 进行规范。

Linux Foundation 和 ISRG 于 2015 年 4 月 9 日宣布合作。中间证书和根证书于 6 月初生成。该服务的最终发布时间表于 2015 年 6 月 16 日公布，首个证书预计将在 2015 年 7 月 27 日那一周的任何时间颁发，随后将有一个用于测试可伸缩性和安全性的颁发时间。该服务的普遍可用性最初定于 2015 年 9 月 14 日那一周的任何时间开始。

• 为了确保系统稳定性和安全性，发布时间表于 2015 年 8 月 7 日进行了修改，首个证书将于 2015 年 9 月 7 日那一周公布，普遍可用性将于 2015 年 11 月 16 日那一周开始。
• Let's Encrypt 于 2015 年 9 月 14 日宣布了其首个证书，该证书适用于 letsencrypt.org 域。
• 同日，ISRG 将其根证书程序软件推荐给 Apple、Google、Microsoft 和 Mozilla。
• 中间证书于 2015 年 10 月 19 日由 IdenTrust 进行交叉签名，使得 Let's Encrypt 发布的每个证书都能被所有主要浏览器信任。
• Let's Encrypt 宣布普遍可用性将推迟到 2015 年 11 月 12 日，而首次公开测试版将于 2015 年 12 月 3 日开始。
• 公开测试版从 2015 年 12 月 3 日到 2016 年 4 月 12 日进行。于 2016 年 4 月 12 日宣布。
• 2020 年 3 月 3 日，Let's Encrypt 宣布由于证书颁发机构软件存在缺陷，将于 3 月 4 日作废 300 多万个证书。
• Let's Encrypt 通过联系网站运营商并与软件供应商合作，设法在最后期限前恢复了 170 万个受影响的证书。
• 最终，他们决定不撤销剩余受影响的证书，因为这些证书将在接下来的 90 天内失效，安全风险非常低。大规模撤销事件极大地增加了全球撤销率。
• Let's Encrypt 获得了自由软件基金会颁发的年度社会公益项目奖。
• Let's Encrypt 宣布于 2020 年 2 月 27 日发布了十亿个证书。
• Let's Encrypt 宣布截至 2022 年 9 月已发布 2.34 亿个未过期（活动）证书。

OpenGL 中的技术

信任链

ISRG Root X1 (RSA)

Let's Encrypt 于 2015 年 6 月发布了首个 RSA 根证书，即 ISRG Root X1。该根证书用于签名两个中间证书，这两个中间证书也由 IdenTrust 证书颁发机构进行交叉签名。其中一个中间证书用于签名授权证书，而另一个作为备份离线，以防初始中间证书出现问题。通常，Let's Encrypt 证书可以被依赖方在浏览器供应商之前接受和验证，依赖于 ISRG 根证书作为信任锚，因为 IdenTrust 证书受到其他 Web 浏览器的广泛信任。

ISRG Root X2 (ECDSA)

2015 年，Let's Encrypt 的开发人员计划生成一个 ECDSA 根密钥，但后来将此计划推迟到 2016 年初，然后到 2019 年，最后到 2020 年。Let's Encrypt 于 2020 年 9 月 3 日宣布了 6 个新证书：一个名为“ISRG Root X2”的新 ECDSA 根证书、一个交叉签名证书和四个中间证书。新的 ISRG Root X2 由 Let's Encrypt 自己的根证书 ISRG Root X1 进行交叉签名。

Let's Encrypt 没有为新的中间证书发布任何 OCSP 响应程序，而是计划仅依赖 CRL（证书吊销列表）来撤销受损证书，并缩短有效性时间以降低证书受损的风险。

ACME 协议

一种用于自动化与证书颁发机构注册的挑战响应协议称为 ACME（Automated Certificate Management Environment）。它可以查询证书颁发机构所管理的、由证书所覆盖的域的 DNS 服务器或 Web 服务器。用户的域控制权基于最终响应是否符合预期来保证。ACME 客户端软件可以配置一个嵌入式 TLS 服务器，该服务器通过带有 Server Name Indication 的请求由 ACME 证书颁发机构服务器查询，或者它可以使用钩子来发布对可用 DNS 和 Web 服务器的响应。

验证过程在一个或多个隔离的网络路径上执行。支持检查 DNS 条目，这些条目从多个不同位置进行地理化检查，以使 DNS 欺骗攻击难以实施。

ACME 的交互基于在 HTTPS 连接上交换 JSON 文档。草案规范在 GitHub 上提供，并且一个版本已提交给 IETF（Internet Engineering Task Force）作为互联网标准的提案。

Let's Encrypt 运营了自己的 ACME 协议草案。他们同时推动了标准化。这导致了 2019 年 5 月的“提议标准”。它宣布了重大更改，因此被命名为 ACMEv2。Let's Encrypt 运行了新版本并开始强制现有客户端进行升级。

自 2019 年 11 月 8 日起，ACMEv1 不再接受任何新账户的注册。ACMEv1 也不再接受新的域名验证（自 2020 年 6 月起）。ACMEv1 从 2021 年 1 月起经历 24 小时的中断。ACMEv1 的 API 于 2021 年 6 月 1 日完全关闭。

Let's Encrypt 的原则

Let's Encrypt 的主要原则是

• 自动： Web 服务器上运行的应用程序可以与 Let's Encrypt 协作，轻松获取证书，将其配置为安全使用，并自动处理续订。
• 免费： 任何拥有域名的人都可以免费使用 Let's Encrypt 获取受信任的证书。
• 安全： Let's Encrypt 将作为推广 TLS 安全最佳实践的平台，既能在 CA 层面，也能通过支持网站运营商正确保护其服务器。
• 开放： 续订协议和自动颁发被发布为开放标准，任何人都可以采用。
• 透明： 颁发或撤销的每个证书都将公开记录，并供所有人查阅。
• 合作： Let's Encrypt 是一项合作努力，旨在使社区受益，而非由任何单个组织控制，这与互联网基本协议本身非常相似。