SSL 证书用于加密两点之间的数据,例如你的网络浏览器和一个网络服务器。大多数需要处理敏感信息的网站,如银行、在线商店和其他网站都需要使用 SSL 加密来保护用户通过互联网传输的数据。通常,如果网站需要支持 HTTPS 协议,网站管理员则要从 SSL 证书供应商处购买 SSL 证书,Let's Encrypt 除外。
Let's Encrypt中文版主要是汉化了一下主页和文档,而文档实际上还没有完成翻译,感兴趣的志愿者可以通过 GitHub 帮助它翻译网站文档。
Let's Encrypt 目前支持包括中文在内的七种语言,它的证书已获得了主要浏览器开发商的信任,很多著名公司也都对其提供了赞助,比如 Facebook、思科和 Mozilla 等。
在官网上无法直接通过界面操作申请域名证书,需要自己搭建申请环境。
如需网页版申请证书,可以使用【来此加密】网站辅助申请。
====================
2018年,Let’s Encrypt 引入了一些新功能,包括对 ACMEv2 协议和通配符证书的支持。他们亦表示计划在2019年推出一些更令人兴奋的功能。
我们最兴奋的功能莫过于多视角验证(multi-perspective validation)。目前,当订阅者请求证书时,他们从单一网络角度验证域控制 —— 这是 CA 的标准做法。不过这也导致了一个问题,如果沿着网络路径进行验证检查的攻击者干扰流量,这将可能会导致颁发不应颁发的证书。而 Let’s Encrypt 最关心的是现实中会通过 BGP 劫持而导致这种情况的发生,并且由于 BGP(边界网关协议) 不能很快受到保护,Let’s Encrypt 必须要找到另一种缓解措施。目前,他们计划在2019年部署的解决方案是启用多视角验证,将从多个网络角度(不同的自治系统)进行检查。这意味着潜在的 BGP 劫持者需要同时劫持多条路线才能取得成功的攻击,这比劫持单一路线要困难得多。Let’s Encrypt 正与普林斯顿的一个研究团队合进行作,设计出最有效的多视角验证系统,并且已经在临时环境中开启了部分功能。
此外,Let’s Encrypt 还计划在2019年引入证书透明度(Certificate Transparency, CT)日志。所有证书颁发机构如 Let’s Encrypt 都需要向 CT 日志提交证书,但生态系统中没有足够稳定的日志。因此,他们计划打造运行一个能让所有 CA 都可提交的 log。
而在2018年计划添加的 ECDSA 根证书和中间证书,由于优先级的调整,最终未能完成。所以,Let’s Encrypt 希望在2019能实现这个目标。由于 ECDSA 比 RSA 更有效,因此通常被认为是 Web 上数字签名算法的未来。目前使用的是中间证书中的 RSA 密钥签名。而一旦 Let’s Encrypt 拥有了 ECDSA 根证书和中间件,Let’s Encrypt 的使用者就能够部署完全符合 ECDSA 的证书链。