Certificate Transparency (CT) adalah proyek yang dimulai oleh Google, yang bertujuan untuk menghilangkan berbagai kelemahan struktural dalam sistem sertifikat SSL. CT memungkinkan siapa pun untuk mendeteksi sertifikat SSL yang telah dikeluarkan secara keliru oleh Otoritas Sertifikat (CA), atau diperoleh dengan cara jahat dari CA yang tidak dapat disangkal. Peramban, CA, dan pihak lain dapat menggunakan CT (bersama teknik lain yang ada) untuk mengonfirmasi sertifikat dikeluarkan dengan benar dan karenanya meningkatkan kepercayaan.
CT bertujuan untuk membuat penerbitan dan keberadaan sertifikat SSL terbuka dan informasi yang tersedia - transparan, jika Anda mau.
Hal ini memungkinkan CT berfungsi sebagai "pengawas CA" untuk memastikan bahwa CA beroperasi seperti yang diharapkan, karena CT mempersulit CA untuk menerbitkan sertifikat tanpa sepengetahuan pemilik domain. Pemilik situs web dapat menanyakan server CT untuk memastikan bahwa pihak jahat tidak menerbitkan sertifikat apa pun untuk situs web mereka.
CT dibuat dalam upaya untuk memperkuat keamanan Internet secara keseluruhan dengan membuat kerangka kerja terbuka untuk memantau SSL /TLS sistem sertifikat. Transparansi ini dapat membantu melindungi pengguna dan situs web dari sertifikat yang salah atau curang.
CA menerbitkan sertifikat yang dikeluarkannya dalam layanan jaringan sederhana, yang disebut * Log Sertifikat *. Log sertifikat menyimpan catatan kriptografi yang terjamin secara kriptografis, dapat diaudit secara publik, dan tambahan dari sertifikat yang diterbitkan. Siapa pun dapat meminta mereka atau mengirimkan informasi baru.
Pada dasarnya, saat server log CT menerima sertifikat baru, server tersebut merespons dengan Stempel Waktu Sertifikat yang Ditandatangani (SCT). SCT ini digunakan sebagai bukti tanggal penerbitan, biasanya dengan melampirkannya pada sertifikat yang diterbitkan. (Ada lebih dari satu cara untuk mengirimkan SCT - tapi itu untuk artikel yang lebih detail.)
Penting untuk diperhatikan bahwa sertifikat akan disimpan dalam log selamanya - item dapat ditambahkan ke log dengan cukup mudah, tetapi penghapusan tidak mungkin; bahkan untuk sertifikat yang kedaluwarsa.
Log CT diverifikasi secara berkala oleh layanan CT independen yang ditentukan dalam desain CT, yaitu monitor (yang mengawasi sertifikat yang mencurigakan) dan auditor (yang memverifikasi bahwa log dapat dipercaya). Monitor dapat dijalankan oleh CA atau pihak ketiga lainnya, sementara auditor sebenarnya dibangun di browser.
Lebih banyak informasi tentang cara kerja CT dapat ditemukan di sini.
Sertifikat Validasi Diperpanjang (EV) telah diperlukan untuk mendukung CT sejak 2015, ketika Google memberlakukannya untuk semua sertifikat tersebut.
CT sebelumnya telah diterapkan ke beberapa sertifikat non-EV juga - misalnya, semua sertifikat yang dikeluarkan oleh Symantec sejak Juni 2016 telah diminta untuk menggunakan CT, karena masalah yang mereka hadapi.
Akhirnya, Google mulai menegakkan Transparansi Sertifikat di Chrome untuk semua sertifikat, termasuk Validasi Domain (DV) dan Validasi Organisasi (OV) pada 30 April 2018. Sejak itu, semua sertifikat yang dipercayai publik harus dikaitkan dengan SCT dari CT berkualifikasi. catatan. Daftar log yang memenuhi syarat tersebut dikelola oleh Google di sini.
Meskipun CT dapat meningkatkan SSL /TLS keamanan dan kepercayaan, seperti teknologi baru apa pun, ia mungkin juga menimbulkan konsekuensi yang tidak diinginkan. Log CT dapat dilihat oleh siapa saja, termasuk penyerang jahat. Siapa pun dapat mencari di dalam log ini sertifikat yang melindungi domain penting yang menghadap Internet, seperti server proxy, atau titik masuk VPN. Dengan demikian mendapatkan gambaran sekilas tentang struktur jaringan organisasi lain.
Informasi ini biasanya tidak cukup untuk membahayakan postur keamanan organisasi, tetapi dapat memberikan pengaruh kepada penyerang, atau jalur serangan yang lebih mudah ke dalam jaringan.
Untuk aplikasi sensitif di mana struktur jaringan internal tidak boleh diungkapkan, pelanggan SSL.com dapat:
1. Dapatkan sertifikat domain wildcard (misalnya "* .example.com"), asalkan mereka dapat menunjukkan kontrol penuh atas domain, atau
2. Pertimbangkan membeli a secara pribadi Terpercaya PKI rencana, sejak itu PKIs tidak diwajibkan untuk mematuhi CT.
Jika tidak yakin, silakan hubungi pakar di Support@SSL.com sekarang dan diskusikan a PKI rencana yang memenuhi kebutuhan Anda.
Tidak sama sekali - sebagai pelanggan, Anda TIDAK perlu melakukan sesuatu secara berbeda. CT terjadi 'di belakang layar' dari sudut pandang pengguna, dan SSL.com (atau mitra USERTrust kami) akan melakukan semua langkah yang diperlukan untuk memastikan sertifikat Anda memenuhi standar CT dan bekerja seperti yang diharapkan.