Tato stránka popisuje všechny aktuální a relevantní historické certifikační autority, které provozuje Let’s Encrypt. Upozorňujeme, že CA lze nejlépe chápat jako klíč a jméno: každá CA může být reprezentována více certifikáty, které všechny obsahují stejný Subjekt a Informaci o veřejném klíči. V takových případech jsme poskytli podrobnosti o všech certifikátech, které zastupují CA. Pokud hledáte identifikátory Trust Anchor spojené s těmito certifikačními autoritami, podívejte se na naši stránku Identifikátory objektů.

Kořenové CA

Naše kořenové klíčové materiuály jsou uloženy bezpečně offline. Vydáváme certifikáty koncových entit předplatitelům ze zprostředkovatelů popsaných v následující části. Všechny Subjekty kořenového certifikátu mají jako zemi nastavenou C = US.

Upozorňujeme, že kořenové CA nemají datum platnosti ve stejném smyslu jako ostatní certifikáty. Ačkoli jejich vlastní podepsané certifikáty obsahují datum notAfter, kořenové programy a úložiště důvěryhodných certifikátů (Trust Stores) se mohou rozhodnout důvěřovat kořenové CA i po tomto datu nebo ukončit důvěru v ni před tímto datem. Proto jsou níže uvedené termíny ukončení platnosti přibližné a vycházejí z aktuálních zásad Kořenových programů.

• ISRG Root X1
  • Předmět: O = Internet Security Research Group, CN = ISRG Root X1
  • Typ klíče: RSA 4096
  • Důvěryhodné do: 2030-06-04 (vygenerováno 2015-06-04)
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu (podepsaný sám sebou): crt.sh, der, pem, txt
  • Podrobnosti certifikátu (křížově podepsaný DST Root CA X3): crt.sh, der, pem, txt (ukončeno)
  • CRL hostname: x1.c.lencr.org
  • Testovací webstránky: platný, odvolaný, expirovaný
• ISRG Root X2
  • Předmět: O = Internet Security Research Group, CN = ISRG Root X2
  • Typ klíče: ECDSA P-384
  • Důvěryhodné do: 2035-09-04 (vygenerováno 2020-09-04)
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu (podepsaný sám sebou): crt.sh, der, pem, txt
  • Podrobnosti certifikátu (křížově podepsaný ISRG Root X1): crt.sh, der, pem, txt
  • Podrobnosti certifikátu (křížově podepsaný ISRG Root X1): crt.sh, der, pem, txt
  • CRL hostname: x2.c.lencr.org
  • Testovací webstránky: platný, odvolaný, expirovaný

Tyto kořeny zatím nejsou zahrnuty v úložištích důvěryhodných kořenových programů (Trust Stores), ale brzy budou předloženy k zařazení:

• ISRG Root YE
  • Předmět: O = ISRG, CN = Root YE
  • Typ klíče: ECDSA P-384
  • Důvěryhodné do: N/A (vygenerováno 2025-09-03)
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu (podepsaný sám sebou): der, pem, txt
  • Podrobnosti certifikátu (křížově podepsaný ISRG Root X2): der, pem, txt
  • CRL hostname: ye.c.lencr.org
  • Testovací webstránky: Připravuje se
• ISRG Root YR
  • Předmět: O = ISRG, CN = Root YR
  • Typ klíče: RSA 4096
  • Důvěryhodné do: N/A (vygenerováno 2025-09-03)
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu (podepsaný sám sebou): der, pem, txt
  • Podrobnosti certifikátu (křížově podepsaný ISRG Root X1): der, pem, txt
  • CRL hostname: yr.c.lencr.org
  • Testovací webstránky: Připravuje se

Další informace o kompatibilitě našich kořenových certifikátů s různými zařízeními a úložišti důvěryhodných certifikátů naleznete v části Kompatibilita certifikátů.

Podřízené (zprostředkující) certifikační autority

V současné době udržujeme osm zprostředkujících certifikátů, které aktivně rotují. Certifikáty odběratelů obsahující veřejný klíč ECDSA budou vydávány jedním ze zprostředkovatelů ECDSA; podobně certifikáty odběratelů obsahující veřejný klíč RSA budou vydávány jedním ze zprostředkovatelů RSA. Certifikáty odběratelů vydané v rámci „classic“ a „tlsclient“ profilů budou vydávány od jednoho z prvních čtyř uvedených zprostředkovatelů (E7 až R13); naopak certifikáty předplatitelů vydané v rámci profilů „tlsserver“ a „shortlived“ budou vydávány od jednoho ze čtyř posledních zprostředkovatelů (YE1 až YR2).

Všechny Subjekty zprostředujících certifikátů mají jako Zemi nastavenou C = US.

• Let’s Encrypt E7
  • Předmět: O = Let's Encrypt, CN = E7
  • Typ klíče: ECDSA P-384
  • Platný do: 2027-03-12
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu (podepsaný ISRG Root X2): crt.sh, der, pem, txt
  • Podrobnosti certifikátu (křížově podepsaný ISRG Root X1): crt.sh, der, pem, txt
  • CRL hostname: e7.c.lencr.org
  • Řetězce:
    • EE ← E7 ← ISRG Root X1 (Defaultní)
    • EE ← E7 ← ISRG Root X2
• Let’s Encrypt E8
  • Předmět: O = Let's Encrypt, CN = E8
  • Typ klíče: ECDSA P-384
  • Platný do: 2027-03-12
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu (podepsaný ISRG Root X2): crt.sh, der, pem, txt
  • Podrobnosti certifikátu (křížově podepsaný ISRG Root X1): crt.sh, der, pem, txt
  • CRL hostname: e8.c.lencr.org
  • Řetězce:
    • EE ← E8 ← ISRG Root X1 (Defaultní)
    • EE ← E8 ← ISRG Root X2
• Let’s Encrypt R12
  • Předmět: O = Let's Encrypt, CN = R12
  • Typ klíče: RSA 2048
  • Platný do: 2027-03-12
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu (podepsaný ISRG Root X1): crt.sh, der, pem, txt
  • CRL hostname: r12.c.lencr.org
  • Řetězce:
    • EE ← R12 ← ISRG Root X1 (Defaultní)
• Let’s Encrypt R13
  • Předmět: O = Let's Encrypt, CN = R13
  • Typ klíče: RSA 2048
  • Platný do: 2027-03-12
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu (podepsaný ISRG Root X1): crt.sh, der, pem, txt
  • CRL hostname: r13.c.lencr.org
  • Řetězce:
    • EE ← R13 ← ISRG Root X1 (Defaultní)
• Let’s Encrypt YE1
  • Předmět: O = Let's Encrypt, CN = YE1
  • Typ klíče: ECDSA P-384
  • Platný do: 2028-09-02
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu: der, pem, txt
  • CRL hostname: ye1.c.lencr.org
  • Řetězce:
    • EE ← YE1 ← Root YE ← ISRG Root X2 ← ISRG Root X1 (Defaultní)
    • EE ← YE1 ← Root YE ← ISRG Root X2
    • EE ← YE1 ← Root YE
• Let’s Encrypt YE2
  • Předmět: O = Let's Encrypt, CN = YE2
  • Typ klíče: ECDSA P-384
  • Platný do: 2028-09-02
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu: der, pem, txt
  • CRL hostname: ye2.c.lencr.org
  • Řetězce:
    • EE ← YE2 ← Root YE ← ISRG Root X2 ← ISRG Root X1 (Defaultní)
    • EE ← YE2 ← Root YE ← ISRG Root X2
    • EE ← YE2 ← Root YE
• Let’s Encrypt YR1
  • Předmět: O = Let's Encrypt, CN = YR1
  • Typ klíče: RSA 2048
  • Platný do: 2028-09-02
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu: der, pem, txt
  • CRL hostname: yr1.c.lencr.org
  • Řetězce:
    • EE ← YR1 ← Root YR ← ISRG Root X1 (Defaultní)
    • EE ← YR1 ← Root YR
• Let’s Encrypt YR2
  • Předmět: O = Let's Encrypt, CN = YR2
  • Typ klíče: RSA 2048
  • Platný do: 2028-09-02
  • Podrobnosti CA: crt.sh, vydané certifikáty
  • Podrobnosti certifikátu: der, pem, txt
  • CRL hostname: yr2.c.lencr.org
  • Řetězce:
    • EE ← YR2 ← Root YR ← ISRG Root X1 (Defaultní)
    • EE ← YR2 ← Root YR

Klikněte níže pro podrobnosti o dalších zprostředkovatelích, které nejsou součástí aktivní hierarchie vydávání:

Řetězce

Když klient ACME stáhne nově vydaný certifikát z ACME API Let’s Encrypt, tento certifikát je součástí „řetězce“, který zahrnuje také jeden nebo více zprostředkovatelů. Obvykle se tento řetězec spočívá pouze z certifikátu koncové entity a jednoho zprostředkovatele, ale může obsahovat i další zprostředkovatele. Myšlenka spočívá v tom, že po předložení celého řetězce certifikátů prohlížeči návštěvníka webové stránky bude prohlížeč schopen ověřit podpisy až po kořenový certifikát, kterému prohlížeč důvěřuje, aniž by bylo nutné stahovat jakékoli další zprostředkovatele.

Někdy existuje více než jeden platný řetězec pro daný certifikát: například pokud byl zprostředkující certifikát křížově podepsán, pak by jeden z těchto dvou certifikátů mohl být druhým záznamem, „zřetězeným až k“ jednomu ze dvou různých kořenů. V tomto případě mohou různí provozovatelé webových stránek chtít vybrat různé řetězce v závislosti na vlastnostech, které jsou pro ně nejdůležitější.

Každý z výše uvedených aktivních zprostředkovatelů dokumentuje, který řetězec je nabízen jako výchozí a které další řetězce (pokud existují) mohou být požadovány klienty ACME. Obecně platí, že řetězce, které končí u ISRG Root X1, mají největší velikost, ale také největší kompatibilitu se staršími klienty. Řetězce, které končí u ISRG Root X2 (nabízené pouze pro certifikáty ECDSA), jsou menší, ale budou fungovat pouze s klienty, kteří obdrželi aktualizaci svého úložiště důvěryhodných certifikátů po roce 2022. Řetězce, které končí u Root YE nebo Root YR, pravděpodobně nebudou fungovat s žádným z hlavních úložišť důvěryhodných certifikátů, protože tyto kořenové certifikáty ještě nebyly začleněny.

Předplatitelé, kteří chtějí použít jeden z alternativních řetězců, mohou najít pokyny k žádosti o alternativní řetězec v dokumentaci svého klienta ACME (například --preferred-chain flag certbotu).