为保证尽可能多的人可以公平使用我们的服务,Let’s Encrypt 采取了速率限制措施。 我们相信这一限制足以满足大多数人的正常需求。 此外,我们的设计使得证书续期几乎不可能触发速率限制,即使是大型机构也可以逐步增加证书数量,无需 Let’s Encrypt 干预。
如果您正在开发或测试一款 Let’s Encrypt 客户端,请使用我们的测试环境,而不要使用生产环境的接口。 如果您准备将 Let’s Encrypt 作为证书提供商或用于大型网站中,请查阅我们的集成指南。
我们采用令牌桶算法限制请求速率, 因此您可以自由选择调用策略, 既可以在不超过数量上限的前提下一次性发起大量请求,也可以分批次完成接口调用以避免触发速率限制。
如果您不慎触发了速率限制,我们无法临时为您解除。 但不必担心,您的请求额度将随时间逐渐恢复,无需任何操作就能继续发起新的请求。 吊销现有证书并不能解除速率限制,因为我们签发证书所消耗的资源已经无法回收。 请参阅下文触发速率限制后如何重试了解详情。
以下是我们对于 new-account 接口所设置的速率限制。 此类限制极少被触发, 我们建议大型集成商采取多个客户对应一个账户的设计。
每个 IP 地址每 3 个小时最多可注册 10 个账户。 注册额度的恢复速率为每 18 分钟可再创建 1 个账户。
此限制不提供豁免途径。
每个 /48 的 IPv6 子网每 3 个小时最多可注册 500 个账户。 注册额度的恢复速率为每 22 秒可再创建 1 个账户。
此限制不提供豁免途径。
以下是我们对于 new-order 接口所设置的速率限制。 触发此类限制较为常见,尤其是在大型托管服务商及需要为大量域名申请证书的机构中。
每次请求 Let’s Encrypt 签发一份证书即视为一次申请。 每份证书最多可包含 100 个标识符(域名或 IP 地址), 但出于性能考虑,一份证书中的标识符越少越好。
每个账户每 3 个小时最多可申请 300 份证书。 申请额度的恢复速率为每 36 秒可再申请一份证书。
为特定账户申请豁免通过后方可越过此限制。
一般而言,注册域名即您向域名注册商购买的那一部分域名。 例如,www.example.com 对应的注册域名为 example.com, 而 new.blog.example.co.uk 对应的注册域名则为 example.co.uk。 我们依据公共后缀列表来确定注册域名。
对于 IP 地址证书,我们将最常见的分配粒度(即您从运营商或托管服务商一次性获得的 IP 地址数量)视作注册域名。 对于 IPv4 地址,每个地址等同于一个注册域名; 而对于 IPv6 地址,每个 /64 子网等同于一个注册域名。
每个注册域名(或 IPv4 地址,或 IPv6 的 /64 子网)每 7 天最多可申请 50 份证书。 这一限制全局有效,即使是其他账户申请的证书也计算在内。 申请额度的恢复速率为每 202 分钟可再申请一份证书。
为特定的注册域名或账户申请豁免通过后方可越过此限制。
假设您申请了一份对 192.168.1.1、example.com 和 login.example.com 都有效的证书,则该证书的「标识符集合」为 [192.168.1.1, example.com, login.example.com]。 倘若您申请的证书只对 example.co.uk 有效,那么标识符集合就是 [example.co.uk]。
同一标识符集合每 7 天最多可申请 5 份证书。 这一限制全局有效,即使是其他账户申请的证书也计算在内。 申请额度的恢复速率为每 34 小时可再申请一份证书。
反复重装客户端程序来排查问题或者频繁删除 ACME 客户端配置信息都是触发此限制的常见原因。 为此我们有意将此限制设定得较为严苛,以防故障的系统或不完善的软件将其他速率限制的额度迅速耗尽。
测试或调试应用程序时建议使用测试环境,其速率限制会宽松很多。
触发此限制后可以通过添加额外的标识符(如 blog.example.com)继续申请证书, 但需要注意此类证书不会被视为对已有证书的续期, 因此将受到单个账户证书申请限制和单个注册域名证书申请限制的约束。
此限制不提供豁免途径。
证书申请中每个标识符(域名或 IP 地址)的有效性都需要验证, 所有验证均通过后证书才能签发。 验证失败意味着 Let’s Encrypt 成功发出了验证请求,但未得到任何能证明标识符归属的信息。
每个账户下每个标识符每小时最多可验证失败 5 次。 验证额度的恢复速率为每个标识符每 12 分钟可再验证一次。 触发这一限制后,该账户就无法再为此标识符申请任何证书,直到限制解除。
排查问题前建议先将客户端配置改为使用测试环境, 其速率限制会宽松很多,可以避免定位及解决问题的过程中消耗生产环境的请求额度。
HTTP-01 和 TLS-ALPN-01 验证失败的原因通常是网络或防火墙配置导致 Let’s Encrypt 无法与您的服务器建立连接。
DNS-01 验证失败则一般是由于配置过程中遗漏了步骤或输入的内容有误。 这种验证方式往往需要您先在主 DNS 域中创建 CNAME 记录,以便客户端在验证过程中进一步设置其他 DNS 记录。
此限制不提供豁免途径。
与单个账户同一标识符验证失败次数限制类似,但只针对连续验证失败的情况。 此限制旨在防止客户端陷入验证失败的无限循环中。
每个账户下每个标识符最多可连续验证失败 1152 次。 验证额度的恢复速率为每天可再验证一次,验证成功后限制随即解除。 超过限制后,该账户就无法再为此标识符申请证书。 这种情况下,用户可以通过接口报错信息中的链接前往我们的自助服务页面手动恢复验证,并且可以额外为账户关联的最多 49999 个标识符同时解除限制。
| 每日失败次数 | 触发限制所需的时间 |
|---|---|
| 1 | ∞(永远不会触发) |
| 2 | 1152 天(3.16 年) |
| 5 | 288 天(9.46 个月) |
| 10 | 128 天(4.21 个月) |
| 15 | 82 天(2.70 个月) |
| 20 | 61 天(1.99 个月) |
| 30 | 40 天 |
| 40 | 30 天 |
| 120 | 10 天 |
排查问题前建议先将客户端配置改为使用测试环境, 其速率限制会宽松很多,可以避免定位及解决问题的过程中消耗生产环境的请求额度。
HTTP-01 和 TLS-ALPN-01 验证失败的原因通常是网络或防火墙配置导致 Let’s Encrypt 无法与您的服务器建立连接。
DNS-01 验证失败则一般是由于配置过程中遗漏了步骤或输入的内容有误。 这种验证方式往往需要您先在主 DNS 域中创建 CNAME 记录,以便客户端在验证过程中进一步设置其他 DNS 记录。
此限制不提供豁免途径。
除了账户注册和证书签发的限制,每个 IP 地址对各接口的调用频率也有上限。 此类限制由我们的负载均衡器实现,旨在避免 ACME 接口因部分客户端的频繁调用而超负荷运转。
| 接口 | 单 IP 每秒请求上限 | 突发容量 |
|---|---|---|
| /acme/new-nonce | 20 | 10 |
| /acme/new-account | 5 | 15 |
| /acme/new-order | 300 | 200 |
| /acme/revoke-cert | 10 | 100 |
| /acme/renewal-info | 1000 | 100 |
| /acme/* | 250 | 125 |
| /directory | 40 | 40 |
超过以上限制的请求将收到代码为 503 Service Unavailable 的 HTTP 响应, 响应中包含 Retry-After 标头。
Let’s Encrypt 有两种方式认定证书申请是否属于续期:推荐的方式是 ACME Renewal Info (ARI),不受任何速率限制;另一种方式则是将标识符集合相同的证书视为续期,仍受部分速率限制约束。
通过 ARI 完成续期的特有优势就是不受任何速率限制约束。 支持 ARI 的客户端会定期向 Let’s Encrypt 确认您现有的证书是否需要续期, 达到续期的最佳时间窗口后就会自动申请新证书,并指明其替代的是哪一份旧证书。 只要新证书中至少有一个标识符与旧证书相同,且旧证书尚未通过 ARI 续期,此次申请就不受任何速率限制。
如果您的客户端或托管服务商尚未支持 ARI,但您申请的新证书标识符集合与某一现有证书完全相同(不考虑大小写和顺序),那么此次申请也可以被视为续期。 例如,假设您为 [192.168.1.1, www.example.com, example.com] 申请了一份证书,那么您还可以再为 [192.168.1.1, www.example.com, example.com] 一次性申请四份证书,直到触发相同标识符集合证书申请限制。 这四份新证书的申请都将被视为续期,不受单个账户证书申请限制和单个注册域名证书申请限制。
但与 ARI 续期不同,此类申请仍将受到单个账户同一标识符验证失败次数限制和相同标识符集合证书申请限制的约束。
触发速率限制后的错误提示信息均遵循相同的格式, 例如:
too many new registrations (10) from this IP address in the last 3h0m0s,
retry after 1970-01-01 00:18:15 UTC.
在给定的日期和时间之后即可再次执行相同的操作。 如果您的请求超过了不止一项速率限制,提示信息将始终显示最后解除的限制项。
超过速率限制的失败响应中均带有 Retry-After 标头,表示您的客户端应当等待多长时间后再重试。
您还可以在 crt.sh 或 Censys 中通过证书透明化日志搜索您注册的域名已经获得了哪些证书。
如果您是需要集成 Let’s Encrypt 的大型托管服务提供商或机构,可以通过速率限制表单申请放宽限制。 处理申请需要数周的时间,因此填写此表单并不能为您提前解除已经触发的速率限制。