游乐游手机版
首页/科技数码/文章详情

Let‘s Encrypt发布最新根证书与中间证书细节解析

时间:2025-12-03 10:21
所有CA机构包括Let’s Encrypt签发证书的时候都会使用根证书和中间证书对用户证书进行签名。这一机制也叫做证书链,申请证书的时候,根证书对中间证书签名,中间证书对最末端的用户证书进行签名。

所有认证机构(包括Let’s Encrypt在内)在签发数字证书时,都会借助根证书与中间证书对用户证书进行签名验证。这套流程被称为证书链机制,当申请者提交证书请求后,根证书会先对中间证书进行签署,再由中间证书对最终的用户证书完成签名。

Let’s Encrypt近日发布了两个全新的根证书以及六组中间证书,接下来我们聊聊其中一些值得关注的亮点。

根证书与中间证书究竟有何区别?

图片图片

无论是Let’s Encrypt还是其他CA机构,在签发证书过程中都依赖于根证书与中间证书共同构建的信任链条。

通过证书链机制,根证书负责为中间证书背书,中间证书则进一步为终端用户证书提供签名支持。

当TLS客户端(例如Chrome浏览器)反向逐级验证证书签名时,最终由谁来确认根证书本身的合法性呢?

这就需要浏览器厂商预先将CA机构的根证书纳入信任存储中。

因此,Let’s Encrypt本次发布两个根证书后的首要步骤,是向Apple、Chrome、Microsoft、Mozilla等平台申请根证书集成。

为何需要更换证书?因为根证书本身具有有效期限制。

例如本次推出的两个根证书有效期均为20年。

那为何要同时推出两个根证书?其实是为了实现冗余备份吗?

新的ISRG根证书YR采用RSA 4096位加密算法,而另一个ISRG根证书YE则使用ECDSA P-384椭圆曲线加密密钥。

理解了吗?为了适应不同场景需求,提升密钥算法强度与密钥长度可以有效增强用户安全性。例如,如果您申请的证书不需要考虑算法兼容性问题,就可以让Let’s Encrypt使用更严格的YE根证书进行签名。

为什么证书体系中需要包含多个中间证书?

理论上单一中间证书最为理想,因为证书体积更小,TLS通信时传输效率更高。

中间证书的引入实际上是为了提升系统灵活性。

例如Let’s Encrypt在起步阶段时,其根证书未能立即被Apple、Chrome、Microsoft、Mozilla等平台收录,因此它将自己的根证书作为中间证书,交由其他知名CA机构的根证书进行交叉签名。

现在明白了吧?

同理,本次两个新根证书在推广初期也会面临时间窗口问题,因此会先使用现有的X1、X2根证书对新根证书YR、YE进行中间签名过渡。

图片图片

那么为什么要设置六个中间证书呢?

在用户申请证书时,系统会随机选用不同的中间证书进行签名生成。

这样设计的目的是避免中间密钥固定化,从而提升整体安全性。

许多TLS客户端依赖固定的中间证书链进行验证,而非直接使用根证书验证签名,这种行为实际上存在安全风险。

中间密钥轮换机制正是为了解决这一问题!

还有哪些有趣的细节值得探讨?

来源:https://www.51cto.com/article/830988.html
上一篇清华成立具身智能机器人研究院,顶尖学者齐聚布局新赛道 下一篇小米公关“老将”王化轮岗武汉:感恩过往,期待新征程
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
云米科技CEO奖励员工小米YU7 期待未来再奖励更多台
科技数码 · 2026-07-08

云米科技CEO奖励员工小米YU7 期待未来再奖励更多台

云米科技创始人兼CEO陈小平通过社交平台正式揭晓了公司年会上的“重磅大奖”:一辆小米YU7汽车,专为表彰一位长期服务核心客户、始终坚守岗位并成功推动项目实现关键突破的员工。获奖理由简洁而有力——“尽职尽责、持之以恒”。陈小平在现场还定下目标:“希望到2026年,能送出更多台车。” 这句话,既是对员工

腾讯开源Node模块联邦方案hel-micro-node
科技数码 · 2026-07-08

腾讯开源Node模块联邦方案hel-micro-node

腾讯近日正式发布开源项目 hel-micro-node,作为 hel+ 生态体系中的核心组件,专门为 Node js 运行环境量身打造,旨在提供一种轻量化、高效率且易于使用的服务端模块联邦解决方案。与同类产品 @module-federation node 相比,hel-micro-node 在功能

doc个人图书馆因业务调整无偿转让寻找接管方
科技数码 · 2026-07-08

doc个人图书馆因业务调整无偿转让寻找接管方

日前,知识分享平台“360doc个人图书馆”正式对外发布官方公告。自2005年上线以来,这一经典数字图书馆已稳健运营整整二十年,累计服务用户超过八千万,沉淀文章数量突破十一亿篇。作为国内知名的免费知识管理公益平台,它不仅承载了无数人的智慧积累与珍贵记忆,更在个人知识存档与内容管理领域保持了独特的品牌

iPhone Air 2最新传闻 散热与双扬声器及双摄成重点
科技数码 · 2026-07-08

iPhone Air 2最新传闻 散热与双扬声器及双摄成重点

细想起来,距离苹果那款备受期待的超薄系列新机——我们暂时称之为iPhone Air 2——正式亮相,其实已经不到一年了。产业链上陆续传出的消息都在暗示,苹果这次决心放一个大招,在散热、音频、影像这几个核心体验上动真格的。 iPhone Air 销量与市场反响 此前不少舆论认为初代iPhone Air

上海交大今日正式发布自研光学垂直大模型
科技数码 · 2026-07-08

上海交大今日正式发布自研光学垂直大模型

光学领域最近迎来了一位重量级新成员——上海交通大学正式推出了面向光学垂直方向的大模型Optics GPT。官方将其定义为一位“数字光学顾问”,听起来可能有点抽象,但说白了,就是让一个AI系统把光学领域的所有核心知识吃透,然后能稳稳当当地帮科研、工程和教学解决问题。 如果拿ChatGPT这类通用大模型