上次更新時間：2024 年 6 月 11 日

本頁說明了 Let's Encrypt 目前營運的所有現行及相關歷史憑證授權機構。請注意，憑證授權機構最正確的理解方式是一個金鑰和一個名稱：任何給定的憑證授權機構都可能由多個憑證表示，這些憑證都包含相同的主題和公開金鑰資訊。在這種情況下，我們提供了代表該憑證授權機構的所有憑證的詳細資訊。

根憑證授權機構

我們的根金鑰材料會安全地離線保存。我們會從下一節所述的中繼憑證授權機構向訂閱者發放終端實體憑證。所有根憑證主題都有一個國家/地區欄位，為 C = US。

請注意，根憑證授權機構的到期日期與其他憑證的到期日期不同。雖然它們的自我簽署憑證確實包含 notAfter 日期，但根程式和信任存放區可能會決定在該日期之後信任根憑證授權機構，或是在該日期之前終止對它的信任。因此，下方提供的有效期結束日期是根據目前的根程式原則而估計的近似值。

ISRG 根 X1
- 主題：O = Internet Security Research Group, CN = ISRG Root X1
- 金鑰類型：RSA 4096
- 有效期：至 2030-06-04 (產生於 2015-06-04)
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (自我簽署)：crt.sh、der、pem、txt
- 憑證詳細資訊 (由 DST Root CA X3 交叉簽署)：crt.sh、der、pem、txt (已停用)
- 測試網站：有效、已撤銷、已過期
ISRG 根 X2
- 主題：O = Internet Security Research Group, CN = ISRG Root X2
- 金鑰類型：ECDSA P-384
- 有效期：至 2035-09-04 (產生於 2020-09-04)
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (自我簽署)：crt.sh、der、pem、txt
- 憑證詳細資訊 (由 ISRG 根 X1 交叉簽署)：crt.sh、der、pem、txt
- 測試網站：有效、已撤銷、已過期

如需關於我們的根憑證與各種裝置和信任存放區的相容性的詳細資訊，請參閱憑證相容性。

從屬 (中繼) 憑證授權機構

我們目前維持四個作用中輪替的中繼憑證授權機構。包含 ECDSA 公開金鑰的訂閱者憑證將會從其中一個 ECDSA 中繼憑證授權機構發放；同樣地，包含 RSA 公開金鑰的訂閱者憑證將會從其中一個 RSA 中繼憑證授權機構發放。

所有中繼憑證主題都有一個國家/地區欄位，為 C = US。

Let’s Encrypt E5
- 主題：O = Let's Encrypt, CN = E5
- 金鑰類型：ECDSA P-384
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X2 簽署)：der、pem、txt
- 憑證詳細資訊 (由 ISRG 根 X1 交叉簽署)：der、pem、txt
Let’s Encrypt E6
- 主題：O = Let's Encrypt, CN = E6
- 金鑰類型：ECDSA P-384
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X2 簽署)：der、pem、txt
- 憑證詳細資訊 (由 ISRG 根 X1 交叉簽署)：der、pem、txt
Let’s Encrypt R10
- 主題：O = Let's Encrypt, CN = R10
- 金鑰類型：RSA 2048
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X1 簽署)：der、pem、txt
Let’s Encrypt R11
- 主題：O = Let's Encrypt, CN = R11
- 金鑰類型：RSA 2048
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X1 簽署)：der、pem、txt

按一下下方以取得關於並非作用中發行階層一部分的其他中繼憑證授權機構的詳細資訊

備份

這些中繼憑證授權機構目前持有有效的憑證，但目前並未從中發行憑證。我們可能會在任何時候開始從它們發放訂閱者憑證，恕不另行通知。

Let’s Encrypt E7
- 主題：O = Let's Encrypt, CN = E7
- 金鑰類型：ECDSA P-384
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X2 簽署)：der、pem、txt
- 憑證詳細資訊 (由 ISRG 根 X1 交叉簽署)：der、pem、txt
Let’s Encrypt E8
- 主題：O = Let's Encrypt, CN = E8
- 金鑰類型：ECDSA P-384
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X2 簽署)：der、pem、txt
- 憑證詳細資訊 (由 ISRG 根 X1 交叉簽署)：der、pem、txt
Let’s Encrypt E9
- 主題：O = Let's Encrypt, CN = E9
- 金鑰類型：ECDSA P-384
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X2 簽署)：der、pem、txt
- 憑證詳細資訊 (由 ISRG 根 X1 交叉簽署)：der、pem、txt
Let’s Encrypt R12
- 主題：O = Let's Encrypt, CN = R12
- 金鑰類型：RSA 2048
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X1 簽署)：der、pem、txt
Let’s Encrypt R13
- 主題：O = Let's Encrypt, CN = R13
- 金鑰類型：RSA 2048
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X1 簽署)：der、pem、txt
Let’s Encrypt R14
- 主題：O = Let's Encrypt, CN = R14
- 金鑰類型：RSA 2048
- 有效期：至 2027-03-12
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X1 簽署)：der、pem、txt

已停用

這些中繼憑證授權機構不再用於發放訂閱者憑證。仍持有有效憑證的憑證授權機構可能會產生 OCSP 回應和/或 CRL。

Let’s Encrypt E1
- 主題：O = Let's Encrypt, CN = E1
- 金鑰類型：ECDSA P-384
- 有效期：至 2025-09-15
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X2 簽署)：crt.sh、der、pem、txt
Let’s Encrypt E2
- 主題：O = Let's Encrypt, CN = E2
- 金鑰類型：ECDSA P-384
- 有效期：至 2025-09-15
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X2 簽署)：crt.sh、der、pem、txt
Let’s Encrypt R3
- 主題：O = Let's Encrypt, CN = R3
- 金鑰類型：RSA 2048
- 有效期：至 2025-09-15
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG 根 X1 簽署)：crt.sh、der、pem、txt
- 憑證詳細資訊 (由 IdenTrust 交叉簽署)：crt.sh、der、pem、txt
Let’s Encrypt R4
- 主題：O = Let's Encrypt, CN = R4
- 金鑰類型：RSA 2048
- 有效期：至 2025-09-15
- 憑證授權機構詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG Root X1 簽署)：crt.sh、der、pem、txt
- 憑證詳細資訊 (由 IdenTrust 交叉簽署)：crt.sh、der、pem、txt
Let’s Encrypt Authority X1
- 主體：O = Let's Encrypt, CN = Let's Encrypt Authority X1
- 金鑰類型：RSA 2048
- 有效期：已於 2020-06-04 過期
- CA 詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG Root X1 簽署)：crt.sh、der、pem、txt
- 憑證詳細資訊 (由 IdenTrust 交叉簽署)：crt.sh、der、pem、txt
Let’s Encrypt Authority X2
- 主體：O = Let's Encrypt, CN = Let's Encrypt Authority X2
- 金鑰類型：RSA 2048
- 有效期：已於 2020-06-04 過期
- CA 詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG Root X1 簽署)：crt.sh、der、pem、txt
- 憑證詳細資訊 (由 IdenTrust 交叉簽署)：crt.sh、der、pem、txt
Let’s Encrypt Authority X3
- 主體：O = Let's Encrypt, CN = Let's Encrypt Authority X3
- 金鑰類型：RSA 2048
- 有效期：已於 2021-10-06 過期
- CA 詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG Root X1 簽署)：crt.sh、der、pem、txt
- 憑證詳細資訊 (由 IdenTrust 交叉簽署)：crt.sh、der、pem、txt
Let’s Encrypt Authority X4
- 主體：O = Let's Encrypt, CN = Let's Encrypt Authority X4
- 金鑰類型：RSA 2048
- 有效期：已於 2021-10-06 過期
- CA 詳細資訊：crt.sh、已發行的憑證
- 憑證詳細資訊 (由 ISRG Root X1 簽署)：crt.sh、der、pem、txt
- 憑證詳細資訊 (由 IdenTrust 交叉簽署)：crt.sh、der、pem、txt

委派的 OCSP 回應器

此金鑰對先前曾用於簽署關於 Let’s Encrypt 中繼憑證狀態的 OCSP 回應，代表 Let’s Encrypt 根憑證，以便根憑證能保持安全的離線狀態。我們不再為中繼憑證發布 OCSP 回應；而是定期從我們的根憑證發布 CRL，以傳達中繼憑證的撤銷狀態。

ISRG Root OCSP X1
- 主體：O = Internet Security Research Group, CN = ISRG Root OCSP X1
- 金鑰類型：RSA 2048
- 有效期：至 2025-06-10
- 憑證詳細資訊 (由 ISRG Root X1 簽署)：crt.sh、der、pem、txt
- 憑證詳細資訊 (由 ISRG Root X1 簽署)：crt.sh (已過期)

鏈

當 ACME 用戶端從 Let’s Encrypt 的 ACME API 下載新發行的憑證時，該憑證會作為「鏈」的一部分，其中也包含一個或多個中繼憑證。通常此鏈僅包含終端實體憑證和一個中繼憑證，但也可能包含其他中繼憑證。其概念是，透過向網站訪客的瀏覽器呈現此完整的憑證鏈，瀏覽器將能夠驗證簽名，直到瀏覽器信任的根憑證，而無需下載任何其他中繼憑證。

有時，一個給定的憑證會有一個以上的有效鏈：例如，如果一個中繼憑證已被交叉簽署，那麼這兩個憑證中的任何一個都可以是第二個條目，分別「鏈結到」兩個不同的根憑證。在這種情況下，不同的網站經營者可能會想根據他們最關心的屬性選擇不同的鏈。

具有 RSA 公開金鑰的訂閱者憑證是從我們的 RSA 中繼憑證發行的，而這些憑證僅從我們的 RSA 根憑證 ISRG Root X1 發行（即它們不是交叉簽署的）。因此，所有 RSA 訂閱者憑證只有一個可用的鏈。

RSA 訂閱者憑證 ← RSA 中繼憑證 (R10 或 R11) ← ISRG Root X1

具有 ECDSA 公開金鑰的訂閱者憑證是從我們的 ECDSA 中繼憑證發行的，這些憑證是從我們的 RSA 根憑證 ISRG Root X1 和我們的 ECDSA 根憑證 ISRG Root X2 交叉簽署發行的。因此，我們為這些憑證提供兩條鏈。

ECDSA 訂閱者憑證 ← ECDSA 中繼憑證 (E5 或 E6) ← ISRG Root X1

ECDSA 訂閱者憑證 ← ECDSA 中繼憑證 (E5 或 E6) ← ISRG Root X2

第一條鏈，直到 ISRG Root X1，提供了最佳的相容性，因為該根憑證包含在大多數信任儲存中。第二條鏈，直到 ISRG Root X2，在每次 TLS 交握中消耗的網路頻寬較少。我們預設提供第一條鏈，以確保最廣泛的相容性。希望優先考慮大小而不是相容性的訂閱者可以參考其 ACME 用戶端的說明文件，以了解如何請求替代鏈（例如，certbot 的 --preferred-chain 旗標）。

信任鏈

根憑證授權機構

從屬 (中繼) 憑證授權機構

鏈

支持更安全且尊重隱私的網路。