شهادة الشفافية (CT) هو مشروع بدأته Google ، ويهدف إلى إزالة العيوب الهيكلية المختلفة في نظام شهادة SSL. يسمح التصوير المقطعي المحوسب (CT) لأي شخص باكتشاف شهادات SSL التي تم إصدارها عن طريق الخطأ من قبل المرجع المصدق (CA) ، أو تم الحصول عليها بشكل ضار من مرجع مصدق آخر لا يرقى إليه الشك. يمكن للمتصفحات والمراجع المصدقة والأطراف الأخرى استخدام التصوير المقطعي المحوسب (جنبًا إلى جنب مع التقنيات الحالية الأخرى) للتأكد من إصدار الشهادة بشكل صحيح وبالتالي تعزيز الثقة.
تهدف CT إلى جعل إصدار ووجود شهادات SSL مفتوحًا وأن تكون المعلومات متاحة بسهولة - شفافة ، إذا رغبت في ذلك.
يتيح ذلك لـ CT العمل كـ "هيئة رقابة CA" للتأكد من أن CA تعمل كما هو متوقع ، نظرًا لأن CT تجعل من الصعب جدًا على CA إصدار شهادة بدون معرفة مالك المجال. يمكن لمالكي مواقع الويب الاستعلام عن خوادم التصوير المقطعي المحوسب للتأكد من أن الأطراف الخبيثة لم تصدر أي شهادة لمواقع الويب الخاصة بهم.
تم إنشاء CT في محاولة لتعزيز أمان الإنترنت بشكل عام من خلال إنشاء إطار عمل مفتوح لمراقبة SSL /TLS نظام الشهادة. يمكن أن تساعد هذه الشفافية في حماية المستخدمين ومواقع الويب من الشهادات غير الصحيحة أو الاحتيالية.
ينشر المراجعون الشهادات التي يصدرونها في خدمات الشبكة البسيطة ، والتي تسمى * سجلات الشهادات *. تحتفظ سجلات الشهادات بسجلات مضمونة للتشفير ، وقابلة للتدقيق للجمهور ، وملحق للشهادات الصادرة فقط. يمكن لأي شخص الاستعلام عنها أو تقديم معلومات جديدة.
بشكل أساسي ، عندما يتلقى خادم سجل التصوير المقطعي المحوسب شهادة جديدة ، فإنه يستجيب بالطابع الزمني لشهادة موقعة (SCT). يتم استخدام هذا SCT كدليل على تاريخ الإصدار ، عادة عن طريق إرفاقه بالشهادة الصادرة. (هناك أكثر من طريقة لتقديم SCTs - ولكن هذا لمقال أكثر تفصيلاً.)
من المهم ملاحظة أنه يتم تخزين الشهادة في السجل إلى الأبد - يمكن إضافة العناصر إلى السجل بسهولة إلى حد ما ، ولكن الإزالة مستحيلة ؛ حتى بالنسبة للشهادات منتهية الصلاحية.
يتم التحقق من سجلات الأشعة المقطعية بشكل دوري من قبل خدمات الأشعة المقطعية المستقلة المحددة في تصميم الأشعة المقطعية ، وهي شاشات (التي تراقب الشهادات المشبوهة) و المدققين (التي تحقق من أن السجلات جديرة بالثقة). يمكن تشغيل الشاشات بواسطة المراجع المصدقة أو جهات خارجية أخرى ، في حين أن المراجعين مدمجون بالفعل في المتصفحات.
يمكن العثور على مزيد من المعلومات حول كيفية عمل التصوير المقطعي المحوسب هنا.
مطلوب شهادات التحقق الموسعة (EV) لدعم التصوير المقطعي المحوسب منذ عام 2015 ، عندما فرضته Google على جميع هذه الشهادات.
تم تطبيق CT سابقًا على عدد قليل من الشهادات غير EV أيضًا - على سبيل المثال ، تم طلب جميع الشهادات الصادرة عن Symantec منذ يونيو 2016 لاستخدام CT ، بسبب المشكلات التي واجهوها.
أخيرًا ، بدأت Google في فرض شهادة الشفافية في Chrome لجميع الشهادات ، بما في ذلك التحقق من صحة المجال (DV) والتحقق من صحة المؤسسة (OV) في 30 أبريل 2018. ومنذ ذلك الحين ، يجب أن ترتبط جميع الشهادات الموثوقة بشكل عام ب SCT من CT مؤهل سجل. تحتفظ Google بقائمة بهذه السجلات المؤهلة هنا.
على الرغم من أن CT يمكن أن تحسن SSL /TLS الأمان والثقة ، مثل أي تقنية جديدة ربما تكون قد أحدثت أيضًا عواقب غير مقصودة. يمكن لأي شخص مشاهدة سجلات التصوير المقطعي المحوسب ، بما في ذلك المهاجمون الخبيثون. يمكن لأي شخص البحث من خلال هذه السجلات عن الشهادات التي تحمي المجالات المهمة التي تواجه الإنترنت ، مثل الخوادم الوكيلة أو نقاط دخول VPN. وبذلك تحصل على لمحة عن هيكل شبكة المنظمات الأخرى.
عادة لا تكون هذه المعلومات كافية للتنازل عن الوضع الأمني للمؤسسة ، ولكنها يمكن أن توفر نفوذًا للمهاجم أو مسار هجوم أسهل في الشبكة.
بالنسبة للتطبيقات الحساسة التي لا يجب الإفصاح فيها عن البنية الداخلية للشبكة ، يمكن لعملاء SSL.com:
1. احصل على شهادة مجال wildcard (مثل "* .example.com") ، بشرط أن يتمكنوا من إثبات السيطرة الكاملة على المجال ، أو
2. النظر في شراء أ سرا افضل PKI خطة ، منذ ذلك الحين PKIs ليست ملزمة بالالتزام بالأشعة المقطعية.
إذا لم تكن متأكدًا ، فيرجى الاتصال بخبير على Support@SSL.com الحق الآن ومناقشة PKI خطة تلبي احتياجاتك.
لا على الإطلاق - كعميل ، لن تحتاج إلى القيام بأي شيء بشكل مختلف. يحدث التصوير المقطعي المحوسب "خلف الكواليس" من وجهة نظر المستخدم ، وسيقوم SSL.com (أو شريكنا USERTrust) بتنفيذ جميع الخطوات المطلوبة لضمان أن شهادتك تفي بمعايير التصوير المقطعي المحوسب وتعمل كما هو متوقع.
