在Ubuntu使用Let’s Encrypt

Let’s Encrypt可以被定义为一个由ISRG（互联网安全研究小组）执行的非营利性证书机构，为TLS（运输安全加密）提供X.509证书。它是世界上最大的证书，被3亿多个网站使用，目的是让每个网站都安全并利用HTTPS。服务提供商ISRG是一个公益组织。大的赞助商有比尔和梅林达-盖茨基金会、NGINX、AWS、互联网协会、谷歌浏览器、Facebook、思科系统、OVH、Mozilla基金会和EFF（电子前沿基金会）。其他合作伙伴有Linux基金会、密歇根大学和证书机构IdenTrust。

对于该组织来说，其任务是通过宣传HTTPS的广泛接受，创造一个更加尊重隐私和安全的万维网。这些证书有90天的有效期，在此期间，更新可以在任何时候出现。它由一个自动程序管理，该程序的开发是为了克服人工更新、安装、签署、验证和创建网站的证书。只需执行两个命令，就足以配置HTTPS加密，并继承和安装Linux网站服务器上的证书。

为此，在Ubuntu和Debian的官方软件库中包含了一个应用程序包。像谷歌和Mozilla这样的浏览器开发商的最新举措，即废弃HTTP（未加密），是指望Let’s Encrypt的存在。该项目被批准有可能将整个网络的加密连接作为默认情况来实现。

• 该服务只签发域名验证的证书，因为这些证书可以完全自动化。
• 扩展验证和组织验证证书都需要任何注册者的人工验证，因此Let’s Encrypt不提供。
• 2018年3月还增加了通配符和ACME v2证书支持。
• DV（域名验证）早在2002年就被Let’s Encrypt使用，它在由GeoTrust宣布时最初是有争议的，后来变成了广泛采用的SSL证书签发技术。
• 该组织希望通过尽可能明确的方式来保护自己的防卫和可信度，防止操纵和攻击的企图。
• 为此，它定期发布透明度报告，公开记录ACME的每一笔交易，并尽可能地使用自由和开放标准的软件。

Let’s Encrypt的历史

该项目于2012年由Mozilla的两名员工Eric Rescorla和Josh Aas发起，EFF的Peter Eckersley和J.Alex Halderman在密歇根大学（U-M）。ISRG于2013年5月被整合，该公司超越了Let’s Encrypt。公开资料显示，Let’s Encrypt是在2014年11月18日推出的。
正式来说，ACME协议是在2015年1月28日被引入IETF进行规范。

Linux基金会和ISRG于2015年4月9日宣布他们的合作。中级和根证书在6月初制作完成。该服务的最终启动议程于2015年6月16日宣布，第一个证书应该在2015年7月27日那一周的任何时候发放，随后是发放时间，以测试可扩展性和安全性。该服务的普遍可用性最初计划在2015年9月14日那一周的任何时间开始。

• 启动议程被修改，以提供更多的时间来确保2015年8月7日的系统稳定性和安全性，第一批证书将在2015年9月7日的一周内公布，随后在2015年11月16日的一周内普遍提供。
• Let’s encrypt在2015年9月14日宣布了它的第一个证书，该证书可用于 letsencrypt.org 域名。
• 在类似的一天，ISRG向苹果、谷歌、微软和Mozilla推荐了它的根程序软件。
• 中间证书于2015年10月19日由IdenTrust交叉签署，导致每份证书都被Let’s Encrypt公布的每个主要浏览器所信任。
• Let’s Encrypt透露，普遍可用性将在2015年11月12日被拉回，而最初的公开测试版将在2015年12月3日开始。
• 公测版本从2015年12月3日至2016年4月12日执行。它于2016年4月12日公布。
• 2020年3月3日，Let’s encrypt透露，由于证书颁发机构软件的一个缺陷，它将不得不在3月4日宣布300多万份证书无效。
• Let’s Encrypt通过与网站运营商的联系和与软件供应商的操作，能够在时限前恢复170万份受影响的证书。
• 最终，他们决定不撤销剩余的有影响的证书，因为证书在未来90天内是无效的，而且安全风险非常低。大规模废止的事件重要地提高了全球废止的速度。
• Let’s Encrypt获得了自由软件基金会的社会效益项目年度奖。
• Let’s Encrypt透露已于2020年2月27日发布了10亿份证书。
• Let’s Encrypt宣布，截至2022年9月，已经公布了2.34亿份未到期（有效）的证书。

OpenGL中的技术

信任链

ISRG Root X1 (RSA)

Let’s Encrypt在2015年6月披露了初始RSA根证书的生成，即ISRG Root X1。根证书被用来签署两个中间证书，这两个中间证书也是通过IdenTrust证书机构交叉签署的。这些中间证书中的一个用于签署授权证书，而另一个是离线的，作为初始中间证书出现问题时的备份。通常情况下，Let’s Encrypt证书可以被浏览器供应商之前的依赖方所接受和验证，例如，由于IdenTrust证书被其他网络浏览器高度信任，ISRG根证书作为信任锚。

ISRG Root X2 (ECDSA)

2015年，Let’s Encrypt的开发者计划生产ECDSA根密钥，但随后将这一计划撤回到2016年初，然后到2019年，最后到2020年。Let’s Encrypt在2020年9月3日宣布了6个新证书：一个新的 “ISRG Root X2 “ECDSA根密钥，一个交叉签名，以及四个中介。新的ISRG Root X2由ISRG Root X1交叉签署，即Let’s Encrypt自己的根证书。

Let’s Encrypt没有为新的中间证书发布任何OCSP应答器，而是计划完全依靠CRL（证书撤销列表）来召回被破坏的证书，并缩短有效期以减少证书破坏的危险。

ACME协议

一个挑战责任协议被用于自动向证书颁发机构注册，被称为ACME（自动化证书管理环境）。它可以查询DNS服务器或由要授予的证书所隐藏的域管理的Web服务器。根据最终的回应是否符合预期，保证了用户对该域的控制。ACME的客户端软件可以配置一个嵌入式TLS服务器，由ACME的证书授权服务器使用带有服务器名称指示的请求进行查询，或者可以利用钩子向可用的DNS和Web服务器释放响应。

验证过程是通过隔离的网络路径执行一次或多次。支持检查DNS条目，这是在地理上从多个不同的地点完成的，使DNS欺骗攻击复杂化。

ACME的互动是基于HTTPS连接上的JSON文档交换。该规范草案存在于GitHub上，并且已经向IETF（互联网工程任务组）提交了一个版本，作为互联网标准的建议。

Let’s Encrypt运营自己的ACME协议草案。他们同时强迫进行标准化。它在2019年5月引起了一个“拟议标准”。它宣布了突破性的修改，因此，它被命名为ACMEv2。Let’s Encrypt操作了新版本，并开始强迫可用的客户端进行升级。

自2019年11月8日起，ACMEv1不接受任何新账户的注册。自2020年6月起，ACMEv1也不接受新的域名验证。从2021年1月起，ACMEv1经历了24小时的断电。2021年6月1日，ACMEv1的API被完全关闭。

Let’s Encrypt的原则

Let’s Encrypt的主要原则是。

• 自动。活跃在网络服务器上的应用程序可以与Let’s Encrypt合作，无痛苦地获得证书，配置其安全使用，并自动处理更新事宜。
• 免费。任何人都可以利用Let’s Encrypt，谁拥有任何域名，就可以免费获得一个可信的证书。
• 安全。Let’s Encrypt将作为一个平台，推动TLS安全的最佳实践，包括CA和支持网站运营商正确保护其服务器。
• 开放。更新协议和自动发行作为一个开放标准发布，其他任何人都可以采用。
• 透明的。每张被撤销或签发的证书都将被公开记录，供所有人查询。
• 合作的。Let’s Encrypt是一个联合的努力，在任何个别组织的控制背后，社区的利润，几乎与基本的互联网协议本身相同。