Certificate Transparencia (CT) es un proyecto iniciado por Google, con el objetivo de eliminar varias fallas estructurales en el sistema de certificados SSL. CT permite que cualquier persona detecte certificados SSL que hayan sido emitidos por error por una autoridad de certificación (CA), o que hayan sido adquiridos maliciosamente de una CA que de otro modo sería irreprochable. Los navegadores, las CA y otras partes pueden usar CT (junto con otras técnicas existentes) para confirmar que un certificado se emitió correctamente y así mejorar la confianza.
CT tiene como objetivo hacer que la emisión y existencia de certificados SSL sea información abierta y fácilmente disponible, transparente, por así decirlo.
Esto permite que CT actúe como un "perro guardián de CA" para asegurarse de que las CA estén funcionando como se espera, ya que CT hace que sea muy difícil para una CA emitir un certificado sin el conocimiento del propietario del dominio. Los propietarios de sitios web pueden consultar los servidores CT para asegurarse de que las partes malintencionadas no hayan emitido ningún certificado para sus sitios web.
CT se creó en un esfuerzo por fortalecer la seguridad general de Internet mediante la creación de un marco abierto para monitorear el SSL /TLS sistema de certificado Esta transparencia puede ayudar a proteger a los usuarios y sitios web de certificados incorrectos o fraudulentos.
Las CA publican los certificados que emiten en servicios de red simples, llamados * Registros de certificados *. Los registros de certificados mantienen registros criptográficamente asegurados, auditables públicamente y solo anexados de certificados emitidos. Cualquiera puede consultarlos o enviar nueva información.
Básicamente, cuando un servidor de registros de CT recibe un nuevo certificado, responde con una marca de tiempo del certificado firmado (SCT). Esta SCT se utiliza como prueba de la fecha de emisión, generalmente adjuntándola al certificado emitido. (Hay más de una forma de entregar SCT, pero eso es para un artículo más detallado).
Es importante tener en cuenta que un certificado se almacena en un registro para siempre; los elementos se pueden agregar a un registro con bastante facilidad, pero la eliminación es imposible; incluso para certificados caducados.
Los registros de CT se verifican periódicamente por servicios de CT independientes especificados en el diseño de CT, a saber monitores (que vigilan los certificados sospechosos) y los auditores (que verifican que los registros son confiables). Los monitores pueden ser ejecutados por CA u otros terceros, mientras que los auditores están realmente integrados en los navegadores.
Se puede encontrar mucha más información sobre cómo funciona la TC aquí.
Los certificados de Validación Extendida (EV) se han requerido para admitir CT desde 2015, cuando Google lo impuso para todos esos certificados.
CT también se ha aplicado anteriormente a algunos certificados que no son EV; por ejemplo, todos los certificados emitidos por Symantec desde junio de 2016 deben utilizar CT, debido a problemas que encontraron.
Finalmente, Google comenzó a aplicar la Transparencia de certificados en Chrome para todos los certificados, incluida la Validación de dominio (DV) y la Validación de organización (OV) el 30 de abril de 2018. Desde entonces, todos los certificados de confianza pública deben estar asociados con un SCT de un CT calificado Iniciar sesión. Google mantiene una lista de dichos registros calificados aquí.
Aunque CT puede mejorar SSL /TLS seguridad y confianza, como cualquier tecnología nueva, también puede haber tenido consecuencias no deseadas. Cualquier persona puede ver los registros de CT, incluidos los atacantes maliciosos. Cualquiera puede buscar a través de estos registros certificados que protejan dominios importantes con conexión a Internet, como servidores proxy o puntos de entrada VPN. De este modo, puede vislumbrar la estructura de red de otras organizaciones.
Por lo general, esta información no es suficiente para comprometer la postura de seguridad de una organización, pero puede proporcionar una ventaja a un atacante o una ruta de ataque más fácil a una red.
Para aplicaciones sensibles donde no se debe revelar la estructura de la red interna, los clientes de SSL.com pueden:
1.Obtener un certificado de dominio comodín (p. Ej., "* .Example.com"), siempre que puedan demostrar un control total sobre un dominio, o
2. Considere comprar un en privado de confianza PKI plan, ya que tal PKINo están obligados a adherirse a la TC.
Si no está seguro, comuníquese con un experto en Support@SSL.com en este momento y discutir un PKI plan que satisfaga sus necesidades.
En absoluto: como cliente, NO necesitará hacer nada diferente. CT ocurre 'detrás de escena' desde la perspectiva del usuario, y SSL.com (o nuestro socio USERTrust) realizará todos los pasos necesarios para garantizar que su certificado cumpla con los estándares CT y funcione como se espera.
