最后更新:Sep 30, 2022 | 所有文档

lencr.org 是什么?

lencr.org 是 Let’s Encrypt 旗下的一个域名。 我们颁发的证书中有部分数据指向该域名。

我的电脑为什么会从这个网站获取数据? 这是恶意的吗?

不,lencr.org 网站上没有任何恶意数据。 设备会连接到 lencr.org 是因为设备上的软件(比如浏览器或应用)连接了另外一个使用 Let’s Encrypt 证书的网站,正在核实证书是否有效。 这是很多客户端的正常流程。

我们无法断言上述的另外一个网站是否存在风险, 如果您正在调查异常的网络活动,或许应该关注与 lencr.org 紧邻的上一条连接。

客户端与 lencr.org 之间的连接模式可能较为反常,没有规律可循。 有些客户端从来不会从该网站获取数据,有些则只下载部分数据,或者出于性能考虑缓存了部分数据,因此只会偶尔(首次下载以及数据过期后)建立连接。

数据内容究竟是什么?

客户端程序(比如浏览器或应用)连接网站并收到一份证书时,需要核实证书是否真实有效。 以下数据可以从各个角度帮助客户端达成这一目的。

  • o.lencr.org 提供了证书状态(OCSP)信息。 客户端可以通过此信息确认我们颁发的某一份未过期的证书是否有效,或已被提前吊销。 (只适用于“最终实体证书”,或称“叶证书”,即由我们的中间证书颁发给用户的证书。)

  • c.lencr.org 提供了证书吊销列表(CRL),包含我们颁发后未过期就被提前吊销的所有证书。

  • i.lencr.org 提供了我们的“颁发者”中间证书,经过我们的根证书签名,或是由其他证书颁发机构(CA)“交叉签名”。 客户端可以依据此信息通过一份或多份中间证书追溯至其认可的根证书,从而确认待核实的证书的“信任链”。

为什么连接 o.lencr.org 使用的是不安全的 HTTP 协议?

OCSP 数据都是通过 HTTP 协议明文传输的。 如果要用 HTTPS,客户端就必须再通过 OCSP 协议验证 OCSP 服务器的证书,导致无限循环。

OCSP 服务器响应的数据本身就含有时间戳,并且经过数字签名,所以这种情况下不需要 TLS 的防篡改机制。

为什么用 “lencr.org“?

我们也用过更长的网址,比如 http://ocsp.int-x3.letsencrypt.org/。 但在颁发新的根证书和中间证书时,我们决定尽可能缩短网址的长度。 每天有数十亿 HTTPS 连接在互联网上建立,每条连接都要传输一份证书,因此证书的每个字节都举足轻重。 我们选择 lencr.org 因为它与我们的名称相似: Let’s ENCRypt。 其读法类似 Terry Pratchett 所著小说《碟形世界》中名为 Lancre 的虚构地区。