Останнє оновлення: | Переглянути всю документацію
Що таке lencr.org?
lencr.org - це доменне ім’я, яке належить Let’s Encrypt. Ми використовуємо його для розміщення даних, на які посилаються в сертифікатах, які ми випускаємо.
Чому мій комп’ютер отримує ці дані? Це зловмисно?
Ні, дані на lencr.org ніколи не є шкідливими. Коли пристрій підключається до lencr.org, це відбувається тому, що клієнтське програмне забезпечення на цьому пристрої (наприклад, веббраузер або програма) під’єдналося до іншого сайту, побачило сертифікат Let’s Encrypt і намагається перевірити його дійсність. Для багатьох клієнтів це рутина.
Ми не можемо сказати, чи є інший сайт, до якого ви під’єднані, шкідливий. Якщо ви досліджуєте мережеву активність, яка здається вам незвичною, ви можете зосередитися на з’єднанні, яке почалося безпосередньо перед з’єднанням з lencr.org.
Шаблон з’єднань клієнтів з lencr.org може виглядати незвично або переривчасто. Клієнти можуть ніколи не отримувати ці дані; отримувати лише їхні підмножини; або “кешувати” деякі дані для ефективності, щоб мати доступ до них лише іноді (коли вони їм потрібні вперше, або коли термін зберігання даних закінчився).
Для чого саме ці дані?
Коли клієнтське програмне забезпечення (наприклад, веббраузер або додаток) під’єднується до сайту, і цей сайт надає сертифікат, клієнт повинен перевірити, що сертифікат є автентичним і дійсним. Ці дані допомагають клієнтам зробити це кількома способами.
-
У розділі
o.lencr.orgми надаємо дані Online Certificate Status Protocol (OCSP). Клієнт може використовувати ці дані для підтвердження того, що виданий нами індивідуальний сертифікат, термін дії якого не закінчився, все ще дійсний або був анульований. (Це стосується лише сертифікатів “end-entity” або “leaf”, які ми видаємо підписникам з одного з наших проміжних сертифікатів.) -
У розділі
c.lencr.orgми надаємо списки відкликання сертифікатів (CRL) з переліком усіх сертифікатів, термін дії яких не закінчився і які ми видали, а потім відкликали. -
У розділі
i.lencr.orgми надаємо копії наших проміжних сертифікатів “емітента”, які або підписані одним з наших кореневих сертифікатів, або “перехресним підписом” іншого центру сертифікації (ЦС). Клієнт може використовувати ці дані для підтвердження “ланцюжка довіри” від сертифіката кінцевого суб’єкта, який він перевіряє, через один або кілька проміжних етапів, до сертифіката кореневого центру сертифікації, який він розпізнає і якому довіряє.
Чому з’єднання з o.lencr.org відбувається через незахищений HTTP?
Відповіді OCSP завжди надсилаються через HTTP. Якби вони обслуговувалися через HTTPS, виникла б проблема “нескінченного циклу”: щоб перевірити сертифікат OCSP-сервера, клієнту довелося б використовувати OCSP.
Сама відповідь OCSP має мітку часу і криптографічний підпис, тому властивості TLS щодо захисту від несанкціонованого доступу в цьому випадку не потрібні.
Чому “lencr.org”?
Ми звикли використовувати довші URL-адреси як http://ocsp.int-x3.letsencrypt.org/. Проте, коли ми видавали наші нові кореневі та проміжні сертифікати, ми хотіли скоротити їх наскільки це можливо. Кожне з’єднання HTTPS в Інтернеті (мільярди на день) має надіслати копію сертифіката, тому кожен байт має значення. Ми вибрали lencr.org через схожість з нашою назвою: Let’s ENCRypt. Ми вимовляємо це так само, як вигадану область Ланкр у романах Террі Пратчетта Світ дисків.