在Ubuntu使用Let’s Encrypt

在Ubuntu使用Let’s Encrypt

Let’s Encrypt可以被定义为一个由ISRG(互联网安全研究小组)执行的非营利性证书机构,为TLS(运输安全加密)提供X.509证书。它是世界上最大的证书,被3亿多个网站使用,目的是让每个网站都安全并利用HTTPS。服务提供商ISRG是一个公益组织。大的赞助商有比尔和梅林达-盖茨基金会、NGINX、AWS、互联网协会、谷歌浏览器、Facebook、思科系统、OVH、Mozilla基金会和EFF(电子前沿基金会)。其他合作伙伴有Linux基金会、密歇根大学和证书机构IdenTrust

对于该组织来说,其任务是通过宣传HTTPS的广泛接受,创造一个更加尊重隐私和安全的万维网。这些证书有90天的有效期,在此期间,更新可以在任何时候出现。它由一个自动程序管理,该程序的开发是为了克服人工更新、安装、签署、验证和创建网站的证书。只需执行两个命令,就足以配置HTTPS加密,并继承和安装Linux网站服务器上的证书。

为此,在Ubuntu和Debian的官方软件库中包含了一个应用程序包。像谷歌和Mozilla这样的浏览器开发商的最新举措,即废弃HTTP(未加密),是指望Let’s Encrypt的存在。该项目被批准有可能将整个网络的加密连接作为默认情况来实现。

  • 该服务只签发域名验证的证书,因为这些证书可以完全自动化。
  • 扩展验证和组织验证证书都需要任何注册者的人工验证,因此Let’s Encrypt不提供。
  • 2018年3月还增加了通配符和ACME v2证书支持。
  • DV(域名验证)早在2002年就被Let’s Encrypt使用,它在由GeoTrust宣布时最初是有争议的,后来变成了广泛采用的SSL证书签发技术。
  • 该组织希望通过尽可能明确的方式来保护自己的防卫和可信度,防止操纵和攻击的企图。
  • 为此,它定期发布透明度报告,公开记录ACME的每一笔交易,并尽可能地使用自由和开放标准的软件。

Let’s Encrypt的历史

该项目于2012年由Mozilla的两名员工Eric RescorlaJosh Aas发起,EFF的Peter EckersleyJ.Alex Halderman在密歇根大学(U-M)。ISRG于2013年5月被整合,该公司超越了Let’s Encrypt。公开资料显示,Let’s Encrypt是在2014年11月18日推出的。
正式来说,ACME协议是在2015年1月28日被引入IETF进行规范。

Linux基金会和ISRG于2015年4月9日宣布他们的合作。中级和根证书在6月初制作完成。该服务的最终启动议程于2015年6月16日宣布,第一个证书应该在2015年7月27日那一周的任何时候发放,随后是发放时间,以测试可扩展性和安全性。该服务的普遍可用性最初计划在2015年9月14日那一周的任何时间开始。



  • 启动议程被修改,以提供更多的时间来确保2015年8月7日的系统稳定性和安全性,第一批证书将在2015年9月7日的一周内公布,随后在2015年11月16日的一周内普遍提供。
  • Let’s encrypt在2015年9月14日宣布了它的第一个证书,该证书可用于 letsencrypt.org 域名。
  • 在类似的一天,ISRG向苹果、谷歌、微软和Mozilla推荐了它的根程序软件。
  • 中间证书于2015年10月19日由IdenTrust交叉签署,导致每份证书都被Let’s Encrypt公布的每个主要浏览器所信任。
  • Let’s Encrypt透露,普遍可用性将在2015年11月12日被拉回,而最初的公开测试版将在2015年12月3日开始。
  • 公测版本从2015年12月3日至2016年4月12日执行。它于2016年4月12日公布。
  • 2020年3月3日,Let’s encrypt透露,由于证书颁发机构软件的一个缺陷,它将不得不在3月4日宣布300多万份证书无效。
  • Let’s Encrypt通过与网站运营商的联系和与软件供应商的操作,能够在时限前恢复170万份受影响的证书。
  • 最终,他们决定不撤销剩余的有影响的证书,因为证书在未来90天内是无效的,而且安全风险非常低。大规模废止的事件重要地提高了全球废止的速度。
  • Let’s Encrypt获得了自由软件基金会的社会效益项目年度奖。
  • Let’s Encrypt透露已于2020年2月27日发布了10亿份证书。
  • Let’s Encrypt宣布,截至2022年9月,已经公布了2.34亿份未到期(有效)的证书。

OpenGL中的技术

信任链

ISRG Root X1 (RSA)

Let’s Encrypt在2015年6月披露了初始RSA根证书的生成,即ISRG Root X1。根证书被用来签署两个中间证书,这两个中间证书也是通过IdenTrust证书机构交叉签署的。这些中间证书中的一个用于签署授权证书,而另一个是离线的,作为初始中间证书出现问题时的备份。通常情况下,Let’s Encrypt证书可以被浏览器供应商之前的依赖方所接受和验证,例如,由于IdenTrust证书被其他网络浏览器高度信任,ISRG根证书作为信任锚。

ISRG Root X2 (ECDSA)

2015年,Let’s Encrypt的开发者计划生产ECDSA根密钥,但随后将这一计划撤回到2016年初,然后到2019年,最后到2020年。Let’s Encrypt在2020年9月3日宣布了6个新证书:一个新的 “ISRG Root X2 “ECDSA根密钥,一个交叉签名,以及四个中介。新的ISRG Root X2由ISRG Root X1交叉签署,即Let’s Encrypt自己的根证书。

Let’s Encrypt没有为新的中间证书发布任何OCSP应答器,而是计划完全依靠CRL(证书撤销列表)来召回被破坏的证书,并缩短有效期以减少证书破坏的危险。



ACME协议

一个挑战责任协议被用于自动向证书颁发机构注册,被称为ACME(自动化证书管理环境)。它可以查询DNS服务器或由要授予的证书所隐藏的域管理的Web服务器。根据最终的回应是否符合预期,保证了用户对该域的控制。ACME的客户端软件可以配置一个嵌入式TLS服务器,由ACME的证书授权服务器使用带有服务器名称指示的请求进行查询,或者可以利用钩子向可用的DNS和Web服务器释放响应。

验证过程是通过隔离的网络路径执行一次或多次。支持检查DNS条目,这是在地理上从多个不同的地点完成的,使DNS欺骗攻击复杂化。

ACME的互动是基于HTTPS连接上的JSON文档交换。该规范草案存在于GitHub上,并且已经向IETF(互联网工程任务组)提交了一个版本,作为互联网标准的建议。

Let’s Encrypt运营自己的ACME协议草案。他们同时强迫进行标准化。它在2019年5月引起了一个“拟议标准”。它宣布了突破性的修改,因此,它被命名为ACMEv2。Let’s Encrypt操作了新版本,并开始强迫可用的客户端进行升级。



自2019年11月8日起,ACMEv1不接受任何新账户的注册。自2020年6月起,ACMEv1也不接受新的域名验证。从2021年1月起,ACMEv1经历了24小时的断电。2021年6月1日,ACMEv1的API被完全关闭。

Let’s Encrypt的原则

Let’s Encrypt的主要原则是。

Lets Encrypt的原则

  • 自动。活跃在网络服务器上的应用程序可以与Let’s Encrypt合作,无痛苦地获得证书,配置其安全使用,并自动处理更新事宜。
  • 免费。任何人都可以利用Let’s Encrypt,谁拥有任何域名,就可以免费获得一个可信的证书。
  • 安全。Let’s Encrypt将作为一个平台,推动TLS安全的最佳实践,包括CA和支持网站运营商正确保护其服务器。
  • 开放。更新协议和自动发行作为一个开放标准发布,其他任何人都可以采用。
  • 透明的。每张被撤销或签发的证书都将被公开记录,供所有人查询。
  • 合作的。Let’s Encrypt是一个联合的努力,在任何个别组织的控制背后,社区的利润,几乎与基本的互联网协议本身相同。


Linux 基础教程
Linux 简介Linux 安装Linux 云服务器Linux 系统启动过程Linux 系统目录结构Linux 忘记密码解决方法Linux 远程登录Linux 文件基本属性Linux 文件与目录管理Linux 用户和用户组管理Linux 磁盘管理Linux vi/vimlinux yum 命令VMware 安装 Centos7 超详细过程如何查找Linux中的Java版本在Ubuntu中安装OpenGL在Ubuntu使用Let's Encrypt在任何命令上中止一个shell脚本都会失败用make install改变安装目录在Linux中创建一个一定大小的文件从另一个SSH会话中分离出屏幕使用Linux bash提取子串在Linux上腾出一个TCP/IP端口在Linux的Bash中,这里的文件和这里的字符串如何在Bash中添加一列数字如何记录Linux终端会话在Linux上安装程序时如何编写 "yes "的脚本如何在 Linux 上使用 tmux在Linux上使用curl连接Https在特定行号处插入一行杀死Linux中一个进程组的所有成员限制Unix中的进程资源消耗在Cron作业中加载环境变量在Linux上移动所有文件,只有一个例外在Linux上删除文件的行尾在Linux上从命令行运行脚本中的一个函数在Linux上在后台运行多个命令在给定的行号上拆分一个文件什么是Linux上的LD_PRELOAD招数在Linux中使用Zip命令在Linux中创建一个临时文件在Bash中一次删除多个文件在Linux上测量一个进程的CPU使用率在Linux中对磁盘进行分区在Linux中计算一个目录的MD5校验和在Linux中检查一个字符串是否包含一个子串在Linux上计算文本文件中的重复行数确保Linux上只有一个Bash脚本的实例在运行从Linux容器到Docker的演变在Linux上用GREP排除多个模式在Linux上使用rsync时过滤复制的文件如何在Linux上杀死一个分离的屏幕会话如何在Linux上列出所有连接的SSH会话如何在linux中使用diff命令如何在Linux中使用mysql客户端和相关工具如何在Linux上使用Paste命令在Linux上的Bash脚本中实现一个计数器在Linux上保持SSH会话Alive在Linux中链接到文件Linux last命令在Linux中管理进程在Linux上将一个命令的输出作为另一个命令的参数传递Linux上Bash脚本中IFS的意义在Linux上使用find -exec命令选项在Linux上使用Vim寄存器什么是Linux中的.pid文件使用Linux Cat命令将文本写入文件Linux中的匿名管道和命名管道在Linux上检查目录是否被挂载在Bash中在Linux中检查主机的网络可用性在Linux上删除last n命令的历史记录.bashrc、.bash-profile和.profile之间的区别在Linux中并排显示文件在Linux中对目录进行加密和解密在Linux上将grep排除在ps结果之外在Linux中提取WAR文件Linux find命令的替代品fd命令在Linux上查找和转换以CRLF结尾的文件在Linux上查找和压缩文件在Linux中查找一个正在运行的进程的当前工作目录在Linux上用Shell变量获取网页的内容在Linux中生成随机数的指南如何在Linux上将多个文件的内容追加到一个文件中如何计算在Linux中使用dd的最佳块大小如何改变Linux上用户的默认主目录如何在Linux中使用journalctl检查日志如何清理Linux僵尸进程如何在Linux上通过脚本创建一个crontabLinux上Bash Globbing的介绍在/etc/hosts中对主机名和端口进行映射监测Linux中的网络使用情况在Linux中把包括隐藏文件在内的所有文件移入父目录在Linux中否定Bash脚本中的if条件在Linux的多个终端窗口中保存Bash历史记录在Linux上阅读壳牌命令的源代码在Linux上重定向一个已经运行的进程的输出在Linux中删除文本文件的第一行在Linux中删除一个文件的最后N行在Linux上以服务形式运行Java应用程序只在Linux中没有运行的情况下运行Cron作业在Linux上使用grep搜索特定文件类型在Linux中从终端发送邮件在Linux中从壳牌脚本中显示GUI通知为Linux上的Crontab指定一个编辑器在Shell脚本中的变量中存储命令Linux中的netcat命令用字面字符串代替输入文件使用sedcd在Linux上有什么作用在Bash中何时使用别名、脚本和新函数为什么我们要在Linux上禁用SSH上的Root-login在Linux命令行中评估XPathLinux ARP命令Linux中的cut命令Linux中的date命令Linux touch命令指南Linux wc命令指南在Linux上使用sed流编辑器的指南如何在Linux中改变终端输出颜色是否有办法在Linux上按栏目进行 "uniq"Linux中的kill命令Linux的sort命令Linux tar命令Linux的watch命令从终端关闭和重启Linux系统在Linux上从终端软删除文件Linux中的echo命令LINUX中的head和tail命令Linux上的nslookup命令LINUX中的traceroute命令通过SSH在Linux机器之间传输文件在Linux脚本中使用Shebang #!Linux Crontab 介绍Linux 如何从命令行查找文件Linux启动过程的逐步解释Linux Bash终端重定向到另一个终端Linux 常见文本搜索命令Linux 如何使用交叉编译器为 ARM 编译本地 GCCLinux 连接文件的不同方法Ubuntu 配置Postfix以使用Gmail SMTPUbuntu 用Gmail配置PostfixUbuntu 用Gmail配置sendmailSimulink 查找结构变量中未使用的字段Linux 一般DaemonServer设计--最佳实践(CC++)Linux中的流重定向指南Linux find命令指南Linux 如何确定哪些单独的页面是常驻页面Linux 如何找到破碎的符号链接Linux 如何识别用于生成许可证的主机名和主机IDLinux 如何使USB设备支持多点触控Linux 如何在Udev事件上运行长时间的进程Linux 如何设置防火墙Ubuntu 如何设置sendmailLinux 安装和配置Net-SNMPCUDA 应用程序之间是否可以共享Cuda上下文在Linux x64上与x86共享库链接Linux curl 和 wget命令比较xwindow的剪贴板的机制Linux 监控上下文切换Linux 使用Wget进行多次同步下载Linux 替换然后通过ssh打开stdinstdout解决 sendto operation not permitted netsnmp 错误Linux 用chown和chmod设置权限在Unix系统中分割文件在ecryptfs和类似的可堆叠文件系统中使用直接IO谁在Linux系统中调用了我的DBus API为什么-r选项(可重定位)使ld找不到任何库如何从Ubuntu访问Windows共享文件夹如何在Linux中检查JDK版本?在Ubuntu上安装Httpd的方法Linux笔记本电脑LVM Linux8个适用于Linux的开源反向代理服务器8 种 Linux Shell2020年10大适用于Linux程序员的Python集成开发环境(IDE)10个最佳滚动更新Linux发行版10个酷炫的命令行工具,让你的Linux终端更加好用COPR仓库中值得尝试的10个酷软件10个核心Linux面试题及答案在Linux中使用的10个Cron调度任务示例Ubuntu/Debian中新高级软件包工具(APT)使用的10个示例10个有趣的Linux命令行技巧和提示10个Linux命令的面试问题和答案Linux中常见的 10 个关于 ls 命令的面试问题10条Linux中不为人知的指令10种不太知名但好用的Linux命令10个不常用但有用的Linux命令收集系统和硬件信息的10个Linux命令Linux发行版及其用户群如何使用Wetty在Web浏览器中访问Linux服务器终端如何使用 TightVNC 从浏览器访问远程桌面如何在Git中添加空目录如何使用ClamAV和SpamAssassin为Postfix邮件服务器添加防病毒和防垃圾邮件保护如何在OpenNMS监控服务器中添加主机
Linux 命令
Linux 命令大全Linux cat命令Linux chattr命令Linux chgrp命令Linux chmod命令Linux chown命令Linux cksum命令Linux cmp命令Linux diff命令Linux diffstat命令Linux file命令Linux find命令Linux git命令Linux gitview命令Linux indent命令Linux cut命令Linux ln命令Linux less命令Linux locate命令Linux lsattr命令Linux mattrib命令Linux mc命令Linux mdel命令Linux mdir命令Linux mktemp命令Linux more命令Linux mmove命令Linux mread命令Linux mren命令Linux mtools命令Linux mtoolstest命令Linux mv 命令Linux od命令Linux paste命令Linux patch命令Linux rcp命令Linux rm命令Linux slocate命令Linux split命令Linux tee命令Linux tmpwatch命令Linux touch命令Linux umask命令Linux which命令Linux cp命令Linux whereis命令Linux mcopy命令Linux mshowfat命令Linux rhmask命令Linux scp命令Linux awk 命令Linux read 命令Linux updatedb 命令Linux col命令Linux colrm命令Linux comm命令Linux csplit命令Linux ed命令Linux egrep命令Linux ex命令Linux fgrep命令Linux fmt命令Linux fold命令Linux grep 命令Linux ispell命令Linux jed命令Linux joe命令Linux join命令Linux look命令Linux mtype命令Linux pico命令Linux rgrep命令Linux sed 命令Linux sort命令Linux spell命令Linux tr命令Linux expr命令Linux uniq 命令Linux wc命令Linux let 命令Linux lprm命令Linux lpr命令Linux lpq命令Linux lpd命令Linux bye命令Linux ftp命令Linux uuto命令Linux uupick命令Linux uucp命令Linux uucico命令Linux tftp命令Linux ncftp命令Linux ftpshut命令Linux ftpwho命令Linux ftpcount命令Linux cd命令Linux df命令Linux dirs命令Linux du命令Linux edquota命令Linux eject命令Linux mcd命令Linux mdeltree命令Linux mdu命令Linux mkdir命令Linux mlabel命令Linux mmd命令Linux mrd命令Linux mzip命令Linux pwd命令Linux quota命令Linux mount命令Linux mmount命令Linux rmdir命令Linux rmt命令Linux stat命令Linux tree命令Linux umount命令Linux ls命令Linux quotacheck命令Linux quotaoff命令Linux lndir命令Linux repquota命令Linux quotaon命令Linux badblocks命令Linux cfdisk命令Linux dd命令Linux e2fsck命令Linux ext2ed命令Linux fsck命令Linux fsck.minix命令Linux fsconf命令Linux fdformat命令Linux hdparm命令Linux mformat命令Linux mkbootdisk命令Linux mkdosfs命令Linux mke2fs命令Linux mkfs.ext2命令Linux mkfs.msdos命令Linux mkinitrd命令Linux mkisofs命令Linux mkswap命令Linux mpartition命令Linux swapon命令Linux symlinks命令Linux sync命令Linux mbadblocks命令Linux mkfs.minix命令Linux fsck.ext2命令Linux fdisk命令Linux losetup命令Linux mkfs命令Linux sfdisk命令Linux swapoff命令Linux apachectl命令Linux arpwatch命令Linux dip命令Linux getty命令Linux mingetty命令Linux uux命令Linux telnet命令Linux uulog命令Linux uustat命令Linux ppp-off命令Linux netconfig命令Linux nc命令Linux httpd命令Linux ifconfig命令Linux minicom命令Linux mesg命令Linux dnsconf命令Linux wall命令Linux netstat命令Linux ping命令Linux pppstats命令Linux samba命令Linux setserial命令Linux talk命令Linux traceroute命令Linux tty命令Linux newaliases命令Linux uuname命令Linux netconf命令Linux write命令Linux statserial命令Linux efax命令Linux pppsetup命令Linux tcpdump命令Linux ytalk命令Linux cu命令Linux smbd命令Linux testparm命令Linux smbclient命令Linux shapecfg命令Linux adduser命令Linux chfn命令Linux useradd命令Linux date命令Linux exit命令Linux finger命令Linux fwhios命令Linux sleep命令Linux suspend命令Linux groupdel命令Linux groupmod命令Linux halt命令Linux kill命令Linux last命令Linux lastb命令Linux login命令Linux logname命令Linux logout命令Linux ps命令Linux nice命令Linux procinfo命令Linux top命令Linux pstree命令Linux reboot命令Linux rlogin命令Linux rsh命令Linux sliplogin命令Linux screen命令Linux shutdown命令Linux rwho命令Linux sudo命令Linux gitps命令Linux swatch命令Linux tload命令Linux logrotate命令Linux uname命令Linux chsh命令Linux userconf命令Linux userdel命令Linux usermod命令Linux vlock命令Linux who命令Linux whoami命令Linux whois命令Linux newgrp命令Linux renice命令Linux su命令Linux skill命令Linux w命令Linux id命令Linux groupadd 命令Linux free命令Linux reset命令Linux clear命令Linux alias命令Linux dircolors命令Linux aumix命令Linux bind命令Linux chroot命令Linux clock命令Linux crontab 命令Linux declare命令Linux depmod命令Linux dmesg命令Linux enable命令Linux eval命令Linux export命令Linux pwunconv命令Linux grpconv命令Linux rpm命令Linux insmod命令Linux kbdconfig命令Linux lilo命令Linux liloconfig命令Linux lsmod命令Linux minfo命令Linux set命令Linux modprobe命令Linux ntsysv命令Linux mouseconfig命令Linux passwd命令Linux pwconv命令Linux rdate命令Linux resize命令Linux rmmod命令Linux grpunconv命令Linux modinfo命令Linux time命令Linux setup命令Linux sndconfig命令Linux setenv命令Linux setconsole命令Linux timeconfig命令Linux ulimit命令Linux unset命令Linux chkconfig命令Linux apmd命令Linux hwclock命令Linux mkkickstart命令Linux fbset命令Linux unalias命令Linux SVGATextMode命令Linux gpasswd 命令Linux ar命令Linux bunzip2命令Linux bzip2命令Linux bzip2recover命令Linux gunzip命令Linux unarj命令Linux compress命令Linux cpio命令Linux dump命令Linux uuencode命令Linux gzexe命令Linux gzip命令Linux lha命令Linux restore命令Linux tar命令Linux uudecode命令Linux unzip命令Linux zip命令Linux zipinfo命令Linux setleds命令Linux loadkeys命令Linux rdev命令Linux dumpkeys命令Linux MAKEDEV命令Linux poweroff 命令Linux bc 命令Linux tail 命令Linux xargs 命令Linux 常用命令全拼AWK 工作原理AWK 数组AWK 条件语句与循环AWK 用户自定义函数AWK 内置函数8 个有力的 Awk 内建变量
Linux 问答
Nano和VIM编辑器的区别Bash脚本中Zsh和Bash的区别Ubuntu中APT和DPKG的区别Linux中桌面环境和窗口管理器的区别Owncloud和Nextcloud的区别wget和curl的区别UNIX系统中用户cpu时间和系统cpu时间的区别KornShell 和 BashShell 的区别Linux下Ext4和Btrfs文件系统的区别片上系统SoC 与 单板计算机SBC的区别用户级线程和内核级线程的区别优先级倒置和优先级继承的区别MMU和MPU有什么区别UEFI(统一可扩展固件接口)与BIOS的区别不同类型的RAM(随机存取内存)Ubuntu 和 Red Hat Linux 的区别Ubuntu 和 Kali Linux 的区别Jumpshare 和 Ubuntu One 的区别Ubuntu和Fedora的区别RAID 1 和 RAID 5的区别比特币和区块链的区别Arch Linux 和 Kali Linux 的区别Fedora 和 Kali Linux 的区别硬拷贝和软拷贝的区别RAID 5 和 RAID 10的区别本地文件系统 (LFS) 和分布式文件系统 (DFS) 的区别RPA 和 Selenium 的区别Linux 和 OS/2的区别Linux 和 Plan 9 的区别硬盘驱动器和闪存驱动器的区别中断和异常的区别Arduino和树莓派的区别FAT32、exFAT 和 NTFS 文件系统的区别FCFS和优先级CPU调度的区别Linux和Unix的区别Python 和 Bash 的区别fork() 和 exec()的区别先到先服务 (FCFS) 和最长作业优先 (LJF) CPU 调度算法的区别最长作业优先 (LJF) 和循环 (RR) 调度算法的区别多道程序,多任务,多线程和多处理的区别管道和消息队列的区别优先级调度和循环 (RR) CPU 调度的区别优先级调度和最短作业优先 (SJF) CPU 调度的区别UEFI和BIOS的区别fork()和vfork()的区别CAD和CAM之间的区别数据和信息的区别基本数据类型和派生数据类型之间的区别全息术与摄影的区别JPEG和GIF的区别JPEG和SVG之间的区别内存和存储之间的区别SSD和HDD之间的区别ZIP和RAR的区别