העמוד הזה מתאר את המצב הנוכחי ואת ההיסטוריה המתאימה של רשויות אישורים שמופעלים על ידי Let’s Encrypt. נא לשים לב שנהוג לחשוב על רשות אישורים בדרך כלל כעל מפתח ושם: כל רשות אישורים יכולה להיות מיוצגת על ידי מגוון אישורים שכולם מכילים את אותו הנושא ואת אותם פרטי המפתח הציבורי. במקרים כאלה, סיפקנו את פרטי כל האישורים שמייצגים את רשות האישורים. אם חיפשת את מזהי עוגן האמון (Trust Anchor IDs) עם רשויות האישורים האלה, כדאי לעיין בעמוד שלנו על מזהי עצמים.

רשויות אישורים עליונות

חומר מפתח העל שלנו נשמר בצורה מאובטחת ללא חיבור לאינטרנט. אנו מנפיקים אישורי יישויות קצה למנויים מהמתווכים שמתוארים בסעיף הבא. לכל נושאי (Subjects) אישורי העל שדה המדינה (Country) מוגדר בתור C = US.

נא לשים לב שלרשויות אישורים עליונות אין תאריכי תפוגה באותו האופן אמו אישורים אחרים. למרות שהאישורים שלהם שנחתמו עצמאית מכילים תאריך notAfter (לא אחרי), תוכניות על ומאגרי אמון יכולים להחליט האם הם בוטחים ברשות אישורים מעבר לתאריך הזה או קוטעים את האמון לפני התאריך הזה. מעצם היותם, תאריכי סוף התוקף שסופקו להלן הם משוערכים, בהתאם למדיניות תוכנית אישור העל הנוכחית.

• ISRG Root X1
  • נושא: O = Internet Security Research Group,‏ CN = ISRG Root X1
  • סוג מפתח: RSA 4096
  • אמין עד: 2030-06-04 (נוצר ב־2015-06-04)
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי אישורים (נחתמו עצמאית): crt.sh,‏ der,‏ pem,‏ txt
  • פרטי אישור (נחתם בהצלבה מול DST Root CA X3):‏ crt.sh,‏ der,‏ pem,‏ txt (פרש לגמלאות)
  • שם מארח לרשימת שלילת אישורים (CRL): x1.c.lencr.org
  • אתרי בדיקה: תקף, נשלל, פג תוקף
• ISRG Root X2
  • נושא: O = Internet Security Research Group,‏ CN = ISRG Root X2
  • סוג מפתח: ECDSA P-384
  • אמין עד: 2035-09-04 (נוצר ב־2020-09-04)
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי אישורים (נחתמו עצמאית): crt.sh,‏ der,‏ pem,‏ txt
  • פרטי אישור (חתימה צולבת על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
  • פרטי אישור (חתימה צולבת שנייה על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): x2.c.lencr.org
  • אתרי בדיקה: תקף, נשלל, פג תוקף

אישורי העל האלה לא נכללים במאגרי האמון של תוכנית אישורי העל, אך תוגש להוספה בקרוב:

• ISRG Root YE
  • נושא: O = ISRG, CN = Root YE
  • סוג מפתח: ECDSA P-384
  • אמין עד: לא ידוע (נוצר ב־2025-09-03)
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי אישור (חתימה עצמית): der,‏ pem,‏ txt
  • פרטי האישור (חתימה צולבת על ידי ISRG Root X2): der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): ye.c.lencr.org
  • אתרי בדיקה: יתווספו בהמשך
• ISRG Root YR
  • נושא: O = ISRG, CN = Root YR
  • סוג מפתח: RSA 4096
  • אמין עד: לא ידוע (נוצר ב־2025-09-03)
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי אישור (חתימה עצמית): der,‏ pem,‏ txt
  • פרטי אישור (חתימה צולבת על ידי ISRG Root X1): der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): yr.c.lencr.org
  • אתרי בדיקה: יתווספו בהמשך

לפרטים נוספים על תאימות אישורי העל שלנו מול מגוון מכשירים ומאגרי אמון, יש לפנות אל תאימות האישורים.

רשויות אישורים כפופות (ביניים)

אנחנו כרגע מתחזקים את שמונת אישורי הביניים שלנו בסבב פעיל. אישורי מנויים שמכילים אישורי ECDSA יונפקו מאחד מאישורי התווך מסוג ECDSA, בדומה, אישורי מנויים שמכילים מפתח ציבורי מסוג RSA יונפקו מאחד מאישורי התווך מסוג RSA. אישורי מנויים שהונפקו תחת הפרופילים „classic” ו־„tlsclient” יונפקו מאחד מארבעת אישורי הביניים הראשונים שמופיעים (E7 עד R13), לחלופין, אישורי מנויים שהונפקו תחת הפרופילים „tlsserver” ו־„shortlived” יונפקו מאחד מארבעת אישורי הביניים האחרונים (YE1 עד YR2).

לכל נושאי (Subjects) אישורי הביניים שדה המדינה (Country) מוגדר בתור C = US.

• Let’s Encrypt E7
  • נושא: O = Let's Encrypt,‏ CN = E7
  • סוג מפתח: ECDSA P-384
  • תקף עד: 2027-03-12
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי אישור (נחתם על ידי ISRG Root X2): crt.sh,‏ der,‏ pem,‏ txt
  • פרטי אישור (חתימה צולבת על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): e7.c.lencr.org
  • שרשראות:
    • EE‏ → E7‏ → ISRG Root X1 (ברירת מחדל)
    • EE ← E7 ← ISRG Root X2
• Let’s Encrypt E8
  • נושא: O = Let's Encrypt,‏ CN = E8
  • סוג מפתח: ECDSA P-384
  • תקף עד: 2027-03-12
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי אישור (נחתם על ידי ISRG Root X2): crt.sh,‏ der,‏ pem,‏ txt
  • פרטי אישור (חתימה צולבת על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): e8.c.lencr.org
  • שרשראות:
    • EE‏ → E8‏ → ISRG Root X1 (ברירת מחדל)
    • EE ← E8 ← ISRG Root X2
• Let’s Encrypt R12
  • נושא: O = Let's Encrypt,‏ CN = R12
  • סוג מפתח: RSA 2048
  • תקף עד: 2027-03-12
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): r12.c.lencr.org
  • שרשראות:
    • EE‏ → R12‏ → ISRG Root X1 (ברירת מחדל)
• Let’s Encrypt R13
  • נושא: O = Let's Encrypt,‏ CN = R13
  • סוג מפתח: RSA 2048
  • תקף עד: 2027-03-12
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי אישור (נחתם על ידי ISRG Root X1): crt.sh,‏ der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): r13.c.lencr.org
  • שרשראות:
    • EE →‏ R13‏ → ISRG Root X1 (ברירת מחדל)
• Let’s Encrypt YE1
  • נושא: O = Let's Encrypt,‏ CN = YE1
  • סוג מפתח: ECDSA P-384
  • תקף עד: 2028-09-02
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי האישור: der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): ye1.c.lencr.org
  • שרשראות:
    • EE‏ → YE1‏ → Root YE‏ → ISRG Root X2‏ → ISRG Root X1 (ברירת מחדל)
    • EE ← YE1 ← Root YE ← ISRG Root X2
    • EE ← YE1 ← Root YE
• Let’s Encrypt YE2
  • נושא: O = Let's Encrypt,‏ CN = YE2
  • סוג מפתח: ECDSA P-384
  • תקף עד: 2028-09-02
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי האישור: der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): ye2.c.lencr.org
  • שרשראות:
    • EE‏ → YE2‏ → Root YE‏ → ISRG Root X2‏ → ISRG Root X1 (ברירת מחדל)
    • EE ← YE2 ← Root YE ← ISRG Root X2
    • EE ← YE2 ← Root YE
• Let’s Encrypt YR1
  • נושא: O = Let's Encrypt,‏ CN = YR1
  • סוג מפתח: RSA 2048
  • תקף עד: 2028-09-02
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי האישור: der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): yr1.c.lencr.org
  • שרשראות:
    • EE‏ → YR1‏ → Root YR‏ → ISRG Root X1 (ברירת מחדל)
    • EE ← YR1 ← Root YR
• Let’s Encrypt YR2
  • נושא: O = Let's Encrypt,‏ CN = YR2
  • סוג מפתח: RSA 2048
  • תקף עד: 2028-09-02
  • פרטי רשות אישורים: crt.sh,‏ אישורים שהונפקו
  • פרטי האישור: der,‏ pem,‏ txt
  • שם מארח לרשימת שלילת אישורים (CRL): yr2.c.lencr.org
  • שרשראות:
    • EE‏ → YR2‏ → Root YR‏ → ISRG Root X1 (ברירת מחדל)
    • EE ← YR2 ← Root YR

לחיצה להלן תציג פרטים על אישורי תווך נוספים שאינם חלק משושלת ההנפקה הפעילה:

שרשראות

כאשר לקוח ACME מוריד אישור חדש שהונפק מה־ACME API של Let’s Encrypt, האישור הזה הופך להיות חלק מה„שרשרת” שכוללת גם אישור תווך אחד או יותר. בדרך כלל השרשרת הזאת מורכבת מאישורי ישות הקצה ואישור ביניים אחד בלבד, אבל היא יכולה להכיל עוד אישורי ביניים. הרעיון הוא שעל ידי הצגת כל שרשרת האישורים האת לדפדפן המבקרים באתר, הדפדפן יוכל לאמת את החתימות כל הדרך עד לשורש שהדפדפן הזה סומך עליו מבלי להוריד אישורי ביניים נוספים.

לפעמים יש יותר משרשרת אחת תקפה לאישור מסוים: למשל, אם אישור תווך נחתם באופן צולב, אז כל אחד משני האישורים האלה יכול להיות הרשומה השנייה, „משתרשר עד” כל אחד משני המקורות השונים. במקרה כזה, מפעילי אתרים שונים יכולים לבחור בשרשראות שונות כתלות במאפיינים שהכי חשובים להם.

כל אחד מאישורי הביניים האלה מתעד איזו שרשרת מוצעת כברירת מחדל ואילו (אם בכלל) שרשראות נוספות עלולים לקוחות ACME לבקש. באופן כללי, שרשראות שמסתיימות ב־ISRG Root X1 הן הגדולות ביותר אבל גם הכי נתמכות בקרב לקוחות ישנים יותר. שרשראות שמסתיימות ב־ISRG Root X2 (מוצעות רק לאישורי ECDSA) הן קטנות יותר, אך תעבודנה רק עם לקוחות שאחסון האמון שלהן עודכנו לאחר 2022 פחות או יותר. שרשאות שמסתיימות ב־Root YE או ב־Root YR לא אמורות לעבוד עם מאגרי האמון העיקריים, כיוון שאישורי העל האלה עדיין לא הוטמעו.

מנויים שרוצים להשתמש באחת מהשרשראות החלופיות יכולים לפנות לתיעוד לקוח ה־ACME שלהם לקבלת הנחיות בנוגע לבקשת שרשרת חלופית (למשל, הדגלון ‎--preferred-chain של certbot).