Let's Encrypt 根憑證與中繼憑證

Let’s Encrypt 的基礎金鑰與憑證已經產生。這是在今天於安全設施的金鑰儀式中完成的。創建了以下物件：

• ISRG 根憑證的金鑰對和自我簽署憑證
• ISRG 根憑證 OCSP 的金鑰對和憑證
• 兩個 Let's Encrypt 中繼 CA 的金鑰對和憑證
• ISRG 根憑證下的 CRL，顯示 Let's Encrypt 中繼憑證尚未被撤銷

當然，公鑰上的憑證可以公開

• ISRG 根憑證 X1
• Let's Encrypt 中繼憑證 X1 CA
• Let's Encrypt 中繼憑證 X2 CA

Let's Encrypt 將從其中繼 CA 向訂閱者發放憑證，這能讓我們將根 CA 安全地離線保存。IdenTrust 將交叉簽署我們的中繼憑證。這將允許我們終端憑證在我們傳播自己的根憑證時被所有主要瀏覽器接受。

在正常情況下，Let's Encrypt 發放的憑證將來自「Let's Encrypt 中繼憑證 X1」。另一個中繼憑證「Let's Encrypt 中繼憑證 X2」與我們的災難恢復站點相關聯，僅在我們失去使用「Let's Encrypt 中繼憑證 X1」發放憑證的能力時使用。

ISRG 根 CA 和 Let's Encrypt 中繼 CA 的私鑰存儲在硬體安全模組 (HSM) 上，這為防止金鑰被盜提供高度保護。

所有 ISRG 金鑰目前都是 RSA 金鑰。我們計劃在今年稍後生成 ECDSA 金鑰。

這些金鑰和憑證的產生是讓 Let's Encrypt 準備好發放憑證的重要一步。在接下來的幾週內，我們將會進一步說明我們的上線計劃。同時，我們很樂意您能參與。