Diese Seite beschreibt alle aktuellen und relevanten historischen Zertifizierungsstellen, die von Let’s Encrypt betrieben werden. Beachten Sie, dass eine CA am korrektsten als Schlüssel und Name gedacht ist: jede CA kann durch Viel Zertifikate, die alle die gleichen Betreff und Public Key Information enthalten. In diesen Fällen haben wir die Details aller Zertifikate zur Verfügung gestellt, die die CA repräsentieren.

Wurzelzertifikate (Root-Zertifikate)

Unsere Root Zertifikate werden sicher offline gehalten. Im nächsten Abschnitt stellen wir Endteilnehmerzertifikate aus den Zwischenzertifikaten für Abonnenten aus. Alle Wurzelzertifikate haben ein Länderfeld von C = US.

Beachten Sie, dass Root CAs keine Verfallsdaten haben, so wie andere Zertifikate. Obwohl ihre selbst-signierten Zertifikate ein nicht nach Datum enthalten Root Programme und Trust Stores können sich entscheiden, einer Root CA über dieses Datum hinaus zu vertrauen oder das Vertrauen in sie vor diesem Datum zu beenden. Daher sind die unten angegebenen Enddaten annähernd und basieren auf den aktuellen Root-Programmrichtlinien.

• ISRG Root X1
  • Betreff: O = Internet Security Research Group, CN = ISRG Root X1
  • Schlüsseltyp: RSA 4096
  • Vertrauenswürdig bis: 2030-06-04 (generiert 2015-06-04)
  • CA Details: crt.sh, ausgestellte Zertifikate
  • Zertifikatsdetails (selbstsigniert): crt.sh, der, pem, txt
  • Zertifikatsdetails (Crosssigniert von DST Root CA X3): crt.sh, der, pem, txt (außer Dienst)
  • Webseiten testen: gültig, widerrufen, abgelaufen
• ISRG Root X2
  • Betreff: O = Internet Security Research Group, CN = ISRG Root X2
  • Schlüsseltyp: ECDSA P-384
  • Vertrauenswürdig bis: 2035-09-04 (generiert 2020-09-04)
  • CA Details: crt.sh, ausgestellte Zertifikate
  • Zertifikatsdetails (selbstsigniert): crt.sh, der, pem, txt
  • Zertifikatsdetails (Quersigniert von ISRG Root X1): crt.sh, der, pem, txt
  • Webseiten testen: gültig, widerrufen, abgelaufen

Weitere Informationen zur Kompatibilität unserer Root-Zertifikate mit verschiedenen Geräten und TrustStores finden Sie unter Zertifikatskompatibilität.

Zwischenzertifikate (Intermediate-Zertifikate)

Derzeit unterhalten wir vier Zwischenprodukte in der aktiven Rotation. Abonnenten-Zertifikate, die einen öffentlichen ECDSA-Schlüssel enthalten, werden von einem der ECDSA-Zwischenzertifikate ausgestellt; in ähnlicher Weise werden Abonnentenzertifikate mit einem RSA-öffentlichen Schlüssel von einem der RSA-Zwischenzertifikate ausgestellt.

Alle Zwischenzertifikate haben ein Länderfeld von C = US.

• Let’s Encrypt E7
  • Betreff: O = Let's Encrypt, CN = E7
  • Schlüsseltyp: ECDSA P-384
  • Gültig bis: 2027-03-12
  • CA Details: crt.sh, ausgestellte Zertifikate
  • Zertifikatsdetails (signiert von ISRG Root X2): der, pem, txt
  • Zertifikatsdetails (cross-signed von ISRG Root X1): der, pem, txt
• Let’s Encrypt E8
  • Betreff: O = Let's Encrypt, CN = E8
  • Schlüsseltyp: ECDSA P-384
  • Gültig bis: 2027-03-12
  • CA Details: crt.sh, ausgestellte Zertifikate
  • Zertifikatsdetails (signiert von ISRG Root X2): der, pem, txt
  • Zertifikatsdetails (cross-signed von ISRG Root X1): der, pem, txt
• Let’s Encrypt R12
  • Betreff: O = Let's Encrypt, CN = R12
  • Schlüsseltyp: RSA 2048
  • Gültig bis: 2027-03-12
  • CA Details: crt.sh, ausgestellte Zertifikate
  • Zertifikatsdetails (signiert von ISRG Root X1): der, pem, txt
• Let’s Encrypt R13
  • Betreff: O = Let's Encrypt, CN = R13
  • Schlüsseltyp: RSA 2048
  • Gültig bis: 2027-03-12
  • CA Details: crt.sh, ausgestellte Zertifikate
  • Zertifikatsdetails (signiert durch ISRG Root X1): der, pem, txt

Klicken Sie unten für Details zu weiteren Zwischenzertifikaten, die nicht Teil der aktiven Zertifikatsausstellung sind:

Vertrauensketten

Wenn ein ACME-Client ein neu ausgestelltes Zertifikat von der ACME-API von Let’s Encrypt herunterlädt, ist dieses Zertifikat Teil einer „Kette“, die auch ein oder mehrere Zwischenzertifikate enthält. Normalerweise besteht diese Kette nur aus dem Endentitätszertifikat und einem Zwischenzertifikat, aber sie könnte auch zusätzliche Zwischenzertifikate enthalten. Die Idee dahinter ist, dass der Browser eines Website-Besuchers durch die Vorlage dieser gesamten Zertifikatskette in der Lage ist, die Signaturen bis hin zu einer vom Browser als vertrauenswürdig eingestuften Stammzertifizierungsstelle zu validieren, ohne zusätzliche Zwischenzertifikate herunterladen zu müssen.

Manchmal gibt es mehr als eine gültige Kette für ein bestimmtes Zertifikat: Wenn beispielsweise ein Zwischenzertifikat gegenseitig signiert wurde, könnte jedes dieser beiden Zertifikate der zweite Eintrag sein, der zu einer der beiden unterschiedlichen Stammzertifikate führt. In diesem Fall können verschiedene Webseitenbetreiber verschiedene Ketten je nach den Eigenschaften wählen, die ihnen am meisten am Herzen liegen.

Endentitätszertifikate mit RSA-öffentlichen Schlüsseln werden von unseren RSA-Zwischenzertifikaten ausgestellt, die nur von unserem RSA Wurzelzertifikat ISRG Root X1 signiert wurden (d.h. sie sind nicht gegenseitig signiert). Daher haben alle RSA-Abonnenten-Zertifikate nur eine einzige Kette zur Verfügung:

Endentitätszertifikate mit ECDSA-öffentlichen Schlüsseln werden von unseren ECDSA-Zwischenzertifikaten ausgestellt, die sowohl von unserem RSA-Stammzertifikat ISRG Root X1 als auch von unserem ECDSA-Stammzertifikat ISRG Root X2 ausgestellt (d. h. gegenseitig signiert) werden. Deshalb bieten wir zwei Ketten für diese Zertifikate an:

Die erste Kette, bis zu ISRG Root X1, bietet die größte Kompatibilität, da das Root-Zertifikat in den meisten Trust-Shops enthalten ist. Die zweite Kette, bis zu ISRG Root X2, verbraucht weniger Bytes an Netzwerkbandbreite in jedem TLS-Handshake. Wir stellen die erste Kette standardmäßig zur Verfügung, um die breiteste Kompatibilität zu gewährleisten. Abonnenten, die die Größe über die Kompatibilität stellen möchten, können die Dokumentation ihres ACME-Clients für Anweisungen zur Abfrage der alternativen Kette referenzieren (zum Beispiel certbot’s --preferred-chain Flag).