Spørgsmål om certifikatgennemsigtighed

Hvad er certifikatgennemsigtighed?

Certificate Transparency (CT) er et projekt startet af Google med det formål at fjerne forskellige strukturelle mangler i SSL-certifikatsystemet. CT giver enhver mulighed for at registrere SSL-certifikater, der fejlagtigt er udstedt af en Certificate Authority (CA) eller ondsindet erhvervet fra en ellers uangennemsigtig CA. Browsere, CA'er og andre parter kan bruge CT (sammen med andre eksisterende teknikker) til at bekræfte, at et certifikat blev udstedt korrekt og således øge tilliden.

Hvorfor CT?

CT sigter mod at gøre udstedelse og eksistens af SSL-certifikater åbne og let tilgængelige oplysninger - hvis du vil.

Dette gør det muligt for CT at fungere som en "CA-vagthund" for at sikre, at CA'er fungerer som forventet, da CT gør det meget vanskeligt for en CA at udstede et certifikat uden domæneejers viden. Webstedejere kan spørge CT-servere for at sikre sig, at ondsindede parter ikke udsteder noget certifikat til deres websteder.

CT blev oprettet i et forsøg på at styrke den samlede internetsikkerhed ved at skabe en åben ramme til overvågning af SSL /TLS certifikatsystem. Denne gennemsigtighed kan hjælpe med at beskytte brugere og websteder mod forkerte eller falske certifikater.

Hvordan fungerer CT?

CA'er udgiver certifikater, de udsteder i enkle netværkstjenester, kaldet * Certificate Logs *. Certifikatlogfiler opretholder kryptografisk sikrede, offentligt reviderede og kun vedhæftede poster over udstedte certifikater. Alle kan forespørge dem eller indsende nye oplysninger.

I det væsentlige, når en CT-logserver modtager et nyt certifikat, svarer den med et signeret certifikat-tidsstempel (SCT). Denne SCT bruges som bevis for udstedelsesdatoen, normalt ved at vedhæfte den til det udstedte certifikat. (Der er mere end én måde at levere SCT'er på - men det er til en mere detaljeret artikel.)

Det er vigtigt at bemærke, at et certifikat er gemt i en log for evigt - emner kan tilføjes en log temmelig let, men fjernelse er umulig; selv for udløbne certifikater.

CT-logfiler verificeres periodisk af uafhængige CT-tjenester, der er specificeret i CT-designet, nemlig skærme (som holder øje med mistænkelige certifikater) og revisorer (som verificerer, at logfiler er pålidelige). Monitorer kan køres af CA'er eller andre tredjeparter, mens revisorer faktisk er indbygget i browsere.
Meget mere information om, hvordan CT fungerer, kan findes link..

Hvornår skete CT?

Udvidet valideringscertifikater (EV) -certifikater har været påkrævet for at understøtte CT siden 2015, hvor Google pålagde det for alle sådanne certifikater.

CT er tidligere også blevet anvendt på et par ikke-EV-certifikater - for eksempel har alle certifikater, der er udstedt af Symantec siden juni 2016, været forpligtet til at bruge CT på grund af problemer, de stødte på.

Endelig begyndte Google at håndhæve certifikatgennemsigtighed i Chrome for alle certifikater, inklusive domænevalidering (DV) og organisationsvalidering (OV) i april 30 2018. Siden da kræves det, at alle offentligt betroede certifikater er tilknyttet en SCT fra en kvalificeret CT log. En liste over sådanne kvalificerede logfiler vedligeholdes af Google link..

Eventuelle problemer at være opmærksom på?

Selvom CT kan forbedre samlet SSL /TLS sikkerhed og tillid, som enhver ny teknologi, kan det også have haft utilsigtede konsekvenser. CT-logfiler kan ses af alle, inklusive ondsindede angribere. Enhver kan søge gennem disse logfiler efter certifikater, der beskytter vigtige internetvendte domæner, såsom proxyservere eller VPN-indgangspunkter. Dermed får du et glimt af andre organisations netværksstruktur.

Disse oplysninger er normalt ikke nok til at kompromittere en organisations sikkerhedsstilling, men de kan give gearing til en hacker eller en lettere angrebsvej ind i et netværk.

For følsomme applikationer, hvor intern netværksstruktur ikke må afsløres, kan SSL.com-kunder:

1. Få et wildcard-domæne (f.eks. “* .Eksempel.com”), forudsat at de kan demonstrere fuldstændig kontrol over et domæne, eller
2. Overvej at købe en privat betroet PKI plan, da sådan PKIs er ikke forpligtet til at overholde CT.

Hvis du er usikker, bedes du kontakte en ekspert på Support@SSL.com lige nu og diskuter en PKI plan, der opfylder dine behov.

Vil dette påvirke, hvordan jeg får mit certifikat?

Slet ikke - som kunde behøver du IKKE at gøre noget anderledes. CT sker 'bag kulisserne' fra en brugers perspektiv, og SSL.com (eller vores USERTrust-partner) vil udføre alle de nødvendige trin for at sikre, at dit certifikat opfylder CT-standarder og fungerer som forventet.

Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side.

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.