Το Certificate Transparency (CT) είναι ένα έργο που ξεκίνησε η Google, με στόχο την εξάλειψη διαφόρων δομικών ελαττωμάτων στο σύστημα πιστοποιητικών SSL. Το CT επιτρέπει σε οποιονδήποτε να εντοπίζει πιστοποιητικά SSL που έχουν εκδοθεί κατά λάθος από μια αρχή έκδοσης πιστοποιητικών (CA) ή αποκτήθηκαν κακόβουλα από μια κατά τα άλλα ασυναγώνιστη αρχή έκδοσης πιστοποιητικών. Τα προγράμματα περιήγησης, οι CA και άλλα μέρη μπορούν να χρησιμοποιήσουν CT (μαζί με άλλες υπάρχουσες τεχνικές) για να επιβεβαιώσουν ότι ένα πιστοποιητικό εκδόθηκε σωστά και, συνεπώς, να ενισχύσει την εμπιστοσύνη.
Η CT στοχεύει να καταστήσει την έκδοση και την ύπαρξη πιστοποιητικών SSL ανοιχτές και άμεσα διαθέσιμες πληροφορίες - διαφανείς, αν θέλετε.
Αυτό επιτρέπει στο CT να χρησιμεύσει ως "παρατηρητής CA" για να βεβαιωθεί ότι οι ΑΠ λειτουργούν όπως αναμένεται, καθώς η CT καθιστά πολύ δύσκολη για μια ΑΠ να εκδίδει πιστοποιητικό χωρίς να το γνωρίζει ο κάτοχος του τομέα. Οι κάτοχοι ιστότοπων μπορούν να υποβάλουν ερωτήματα στους διακομιστές CT για να βεβαιωθούν ότι τα κακόβουλα μέρη δεν εξέδωσαν κανένα πιστοποιητικό για τους ιστότοπούς τους.
Το CT δημιουργήθηκε σε μια προσπάθεια ενίσχυσης της συνολικής ασφάλειας του Διαδικτύου δημιουργώντας ένα ανοιχτό πλαίσιο για την παρακολούθηση του SSL /TLS σύστημα πιστοποιητικών. Αυτή η διαφάνεια μπορεί να βοηθήσει στην προστασία των χρηστών και των ιστότοπων από εσφαλμένα ή δόλια πιστοποιητικά.
Οι ΑΠ δημοσιεύουν πιστοποιητικά που εκδίδουν σε απλές υπηρεσίες δικτύου, που ονομάζονται * Μητρώα πιστοποιητικών *. Τα αρχεία καταγραφής πιστοποιητικών διατηρούν κρυπτογραφικά εξασφαλισμένα, δημόσια ελεγχόμενα και προσάρτημα μόνο εγγραφών εκδοθέντων πιστοποιητικών. Οποιοσδήποτε μπορεί να τους υποβάλει ερώτημα ή να υποβάλει νέες πληροφορίες.
Ουσιαστικά, όταν ένας διακομιστής καταγραφής CT λαμβάνει ένα νέο πιστοποιητικό, αποκρίνεται με μια σφραγίδα χρόνου υπογραφής πιστοποιητικού (SCT). Αυτό το SCT χρησιμοποιείται ως απόδειξη της ημερομηνίας έκδοσης, συνήθως επισυνάπτοντάς το στο εκδοθέν πιστοποιητικό. (Υπάρχουν περισσότεροι από ένας τρόποι παράδοσης SCT - αλλά αυτό είναι για ένα πιο λεπτομερές άρθρο.)
Είναι σημαντικό να σημειωθεί ότι ένα πιστοποιητικό αποθηκεύεται σε ένα αρχείο καταγραφής για πάντα - τα στοιχεία μπορούν να προστεθούν σε ένα αρχείο καταγραφής αρκετά εύκολα, αλλά η κατάργηση είναι αδύνατη. ακόμη και για πιστοποιητικά που έχουν λήξει.
Τα αρχεία καταγραφής CT επαληθεύονται περιοδικά από ανεξάρτητες υπηρεσίες CT που καθορίζονται στο σχεδιασμό CT, δηλαδή οθόνες (που παρακολουθούν ύποπτα πιστοποιητικά) και ελεγκτών (που επιβεβαιώνουν ότι τα αρχεία καταγραφής είναι αξιόπιστα). Οι οθόνες μπορούν να εκτελούνται από CA ή άλλα τρίτα μέρη, ενώ οι ελεγκτές είναι πραγματικά ενσωματωμένοι σε προγράμματα περιήγησης.
Μπορείτε να βρείτε πολύ περισσότερες πληροφορίες σχετικά με το πώς λειτουργεί το CT εδώ.
Απαιτήθηκαν πιστοποιητικά εκτεταμένης επικύρωσης (EV) για την υποστήριξη της CT από το 2015, όταν η Google το επέβαλε για όλα αυτά τα πιστοποιητικά.
Το CT είχε προηγουμένως εφαρμοστεί και σε μερικά πιστοποιητικά εκτός EV - για παράδειγμα, όλα τα πιστοποιητικά που εκδόθηκαν από τη Symantec από τον Ιούνιο του 2016 ήταν υποχρεωμένα να χρησιμοποιούν CT, λόγω προβλημάτων που αντιμετώπισαν.
Τέλος, η Google άρχισε να επιβάλλει τη Διαφάνεια πιστοποιητικού στο Chrome για όλα τα πιστοποιητικά, συμπεριλαμβανομένης της επικύρωσης τομέα (DV) και της επικύρωσης οργανισμού (OV) τον Απρίλιο του 30 2018. Από τότε, όλα τα δημόσια αξιόπιστα πιστοποιητικά πρέπει να συσχετιστούν με ένα SCT από πιστοποιημένο CT κούτσουρο. Η Google διατηρεί μια λίστα με τα κατάλληλα αρχεία καταγραφής εδώ.
Αν και το CT μπορεί να βελτιώσει το συνολικό SSL /TLS την ασφάλεια και την εμπιστοσύνη, όπως κάθε νέα τεχνολογία μπορεί να έχει επίσης ακούσιες συνέπειες. Τα αρχεία καταγραφής CT μπορούν να προβληθούν από οποιονδήποτε, συμπεριλαμβανομένων κακόβουλων εισβολέων. Όλοι μπορούν να αναζητήσουν μέσω αυτών των αρχείων καταγραφής πιστοποιητικά που προστατεύουν σημαντικούς τομείς που αντιμετωπίζουν το Διαδίκτυο, όπως διακομιστές μεσολάβησης ή σημεία εισόδου VPN. Έτσι, ρίχνουμε μια ματιά στη δομή του δικτύου άλλων οργανισμών.
Αυτές οι πληροφορίες συνήθως δεν είναι αρκετές για να θέσουν σε κίνδυνο τη στάση ασφαλείας ενός οργανισμού, αλλά μπορούν να προσφέρουν μόχλευση σε έναν εισβολέα ή μια ευκολότερη διαδρομή επίθεσης σε ένα δίκτυο.
Για ευαίσθητες εφαρμογές όπου δεν πρέπει να αποκαλύπτεται εσωτερική δομή δικτύου, οι πελάτες SSL.com μπορούν:
1. Αποκτήστε ένα πιστοποιητικό τομέα μπαλαντέρ (π.χ. "* .example.com"), υπό την προϋπόθεση ότι μπορούν να αποδείξουν τον πλήρη έλεγχο ενός τομέα ή
2. Σκεφτείτε να αγοράσετε ένα ιδιαιτερώς Έμπιστος PKI σχέδιο, δεδομένου ότι τέτοια PKIΔεν υποχρεούνται να συμμορφώνονται με το CT.
Εάν δεν είστε σίγουροι, επικοινωνήστε με έναν ειδικό στη διεύθυνση Support@SSL.com τώρα και συζητήστε ένα PKI σχέδιο που ικανοποιεί τις ανάγκες σας.
Καθόλου - ως πελάτης, ΔΕΝ θα χρειαστεί να κάνετε κάτι διαφορετικό. Το CT συμβαίνει «πίσω από τα παρασκήνια» από την πλευρά του χρήστη και το SSL.com (ή ο συνεργάτης μας USERTrust) θα εκτελέσει όλα τα απαιτούμενα βήματα για να διασφαλίσει ότι το πιστοποιητικό σας πληροί τα πρότυπα CT και λειτουργεί όπως αναμένεται.
