欢迎大家赞助一杯啤酒🍺 我们准备了下酒菜:Formal mathematics/Isabelle/ML, Formal verification/Coq/ACL2, C++/F#/Lisp
Let's Encrypt
您可以在Wikipedia上了解到此条目的英文信息 Let's Encrypt Thanks, Wikipedia. |
Let's Encrypt 是一个自由、开放的证书颁发机构(CA)
目录 |
新闻
- Let's Encrypt Has Issued a Billion Certificates (2020.02.27)
- Let's Encrypt 推动HTTPS的普及 (2016.11.04)
- 运行 Let's Encrypt CA的Linux基金会成本,2017年度预算291万美元 (2016.09.20)
简介
Let's Encrypt 是一家全球性的证书颁发机构(CA),帮助世界各地的人们和组织获取、续期和管理 SSL/TLS 证书,网站可以使用 Let's Encrypt 的证书来启用安全的 HTTPS 连接。
这是一项由非盈利组织 Internet Security Research Group(ISRG)提供的服务,是 Linux 基金会合作项目。
功能
ISRG 根证书及 Let's Encrypt 中间证书的私钥均存储在硬件安全模块(HSM)上以提供高度保护,防止私钥被盗取。
当前所有 ISRG 私钥均为 RSA 私钥,正在计划生成 ECDSA(椭圆曲线数字签名算法)私钥。
Let's Encrypt 提供域名验证型(DV)证书,不提供组织验证(OV)或扩展验证(EV),这主要是因为 Let's Encrypt 无法自动化地颁发这些类型的证书,也没有计划颁发 OV 或 EV 证书。
指南
git clone https://github.com/certbot/certbot cd certbot ./certbot-auto --help ./certbot-auto --help all
Installing and Securing Nginx Websites on Linux with a Free SSL Certificate from Let’s Encrypt
ACME
IETF 标准化的 ACME 协议 RFC 8555 是 Let's Encrypt 工作原理的基石。
Let's Encrypt CA 使用 Boulder 签发证书,该软件基于 ACME 协议并主要使用 Go 语言编写。
Let's Encrypt 使用 ACME 协议来验证您对给定域名的控制权并向您颁发证书。要获得 Let's Encrypt 证书,您需要选择一个 ACME 客户端软件。
OCSP
当你在吊销 Let's Encrypt 证书时,Let's Encrypt 将使用在线证书状态协议(OCSP)发布该吊销信息。
CAA
证书颁发机构授权(CAA)
CAA是一种 DNS 记录,它允许站点所有者指定允许哪些证书颁发机构(CA)颁发包含其域名的证书。该记录在 2013 年由 RFC 6844 标准化,以允许 CA“降低意外颁发证书的风险”。
用户
已为超过2亿个网站提供TLS证书服务和集成了 Let's Encrypt 的项目
项目
- ACME Specification
- boulder: An ACME-based CA, written in Go.
- lego Let's Encrypt client and ACME library written in Go
- acmetool an automatic certificate acquisition tool for ACME (Let's Encrypt) written in Go
- Certbot
- Let's Encrypt Without Sudo
- acme4j Java client for ACME (Let's Encrypt)
更多Let's Encrypt / ACME clients>>>