Certifikát Transparency (CT) je projekt zahájený společností Google, jehož cílem je odstranit různé strukturální nedostatky v systému certifikátů SSL. CT umožňuje komukoli detekovat SSL certifikáty, které byly omylem vydány certifikační autoritou (CA) nebo škodlivě získány od jinak nedosažitelné CA. Prohlížeče, certifikační autority a další strany mohou pomocí CT (spolu s dalšími existujícími technikami) potvrdit, že certifikát byl správně vydán, a tak zvýšit důvěru.
CT si klade za cíl zpřístupnit vydávání a existenci SSL certifikátů otevřeným a snadno dostupným informacím - pokud chcete, transparentním.
Díky tomu může CT sloužit jako „hlídací pes CA“, aby se ujistil, že CA fungují podle očekávání, protože CT velmi ztěžuje CA vydávání certifikátů bez vědomí vlastníka domény. Vlastníci webových stránek se mohou dotazovat na servery CT, aby se ujistili, že škodlivé strany nevydaly pro své webové stránky žádný certifikát.
CT bylo vytvořeno ve snaze posílit celkovou internetovou bezpečnost vytvořením otevřeného rámce pro monitorování SSL /TLS systém certifikátů. Tato průhlednost může pomoci chránit uživatele a webové stránky před nesprávnými nebo podvodnými certifikáty.
CA vydávají certifikáty, které vydávají, v jednoduchých síťových službách, které se nazývají * Protokoly certifikátů *. Protokoly certifikátů uchovávají kryptograficky zajištěné, veřejně auditovatelné a připojené záznamy vydaných certifikátů. Kdokoli je může dotazovat nebo odeslat nové informace.
V zásadě, když server protokolu CT obdrží nový certifikát, odpoví časovým razítkem podepsaného certifikátu (SCT). Tento SCT se používá jako doklad o datu vydání, obvykle připojením k vydanému certifikátu. (Existuje více než jeden způsob, jak dodat SCT - ale to je pro podrobnější článek.)
Je důležité si uvědomit, že certifikát je v protokolu uložen navždy - položky lze do protokolu přidat poměrně snadno, ale odebrání je nemožné; i pro certifikáty, jejichž platnost vypršela.
Protokoly CT jsou pravidelně ověřovány nezávislými službami CT uvedenými v návrhu CT, a to monitory (které dávají pozor na podezřelé certifikáty) a auditorů (které ověřují důvěryhodnost protokolů). Monitory mohou být provozovány CA nebo jinými třetími stranami, zatímco auditoři jsou ve skutečnosti zabudováni do prohlížečů.
Lze nalézt mnohem více informací o tom, jak funguje CT zde.
Certifikáty Extended Validation (EV) jsou vyžadovány pro podporu CT od roku 2015, kdy jej společnost Google uložila pro všechny takové certifikáty.
CT bylo dříve použito i na několik certifikátů jiných než EV - například u všech certifikátů vydaných společností Symantec od června 2016 bylo vyžadováno používání CT kvůli problémům, se kterými se setkaly.
Konečně Google začal vymáhat průhlednost certifikátů v Chromu pro všechny certifikáty, včetně ověření domény (DV) a ověření organizace (OV), 30. dubna 2018. Od té doby musí být všechny veřejně důvěryhodné certifikáty spojeny se SCT z kvalifikovaného CT log. Seznam takových kvalifikovaných protokolů je veden společností Google zde.
Ačkoli CT může zlepšit celkový SSL /TLS bezpečnost a důvěra, jako každá nová technologie, může mít také nezamýšlené důsledky. Protokoly CT mohou zobrazit kdokoli, včetně škodlivých útočníků. Kdokoli může v těchto protokolech hledat certifikáty chránící důležité internetové domény, například proxy servery nebo vstupní body VPN. Tím získáme pohled na síťovou strukturu jiných organizací.
Tyto informace obvykle nestačí k narušení zabezpečení organizace, ale mohou poskytnout útočníkovi páku nebo snazší cestu útoku do sítě.
Pro citlivé aplikace, u nichž nesmí být zveřejněna struktura vnitřní sítě, mohou zákazníci SSL.com:
1. Získejte certifikát domény se zástupnými znaky (např. „* .Example.com“) za předpokladu, že mohou prokázat úplnou kontrolu nad doménou, nebo
2. Zvažte nákup a soukromě Důvěryhodný PKI plán, protože takový PKInejsou povinni dodržovat CT.
Pokud si nejste jisti, kontaktujte odborníka na adrese Support@SSL.com právě teď a diskutovat o PKI plán, který uspokojí vaše potřeby.
Vůbec ne - jako zákazník NEMUSÍTE dělat nic jiného. CT se děje z pohledu uživatele „v zákulisí“ a SSL.com (nebo náš partner USERTrust) provede všechny požadované kroky, aby zajistil, že váš certifikát splňuje standardy CT a bude fungovat podle očekávání.
