Let's Encrypt のルートおよび中間証明書

Let’s Encrypt の基礎となる鍵と証明書が生成されました。それは今日の安全な施設における鍵授与式の間に行われました。以下のオブジェクトが作成されました。

• ISRG ルートの鍵ペアと自己署名証明書
• ISRG ルートの OCSP 用鍵ペアと証明書
• 2 つの Let’s Encrypt 中間 CA 用の鍵ペアと証明書
• Let’s Encrypt 中間が取り消されていないことを示す ISRG ルート下の CRL

もちろん、公開鍵に対する証明書は公開できます

• ISRG ルート X1 証明書
• Let’s Encrypt 中間 X1 CA 証明書
• Let’s Encrypt 中間 X2 CA 証明書

Let's Encrypt は、中間 CA からサブスクライバーに証明書を発行することで、ルート CA を安全にオフラインに維持できます。IdenTrust は、中間 CA にクロス署名します。これにより、独自のルートを伝達中に、最終証明書がすべての主要なブラウザーで受け入れられるようになります。

通常の状況では、Let's Encrypt によって発行された証明書は「Let’s Encrypt 中間 X1」から発行されます。もう 1 つの「Let’s Encrypt 中間 X2」という中間は、災害復旧サイトに関連付けられており、「Let’s Encrypt 中間 X1」からの発行ができなくなったときにのみ使用されます。

ISRG ルート CA と Let’s Encrypt 中間 CA の秘密鍵は、鍵を盗まれることに対する高いレベルの保護を提供するハードウェアセキュリティモジュール (HSM) に格納されています。

すべての ISRG 鍵は、現在、RSA 鍵です。今年は ECDSA 鍵を生成する予定です。

これらの鍵と証明書の生成は、Let’s Encrypt が証明書の発行の準備をする上で重要な段階です。今後数週間で、公開に向けての計画についてさらに発表します。それまでの間、ぜひ ご参加ください。