Certificate Transparency (CT) è un progetto avviato da Google, con l'obiettivo di eliminare vari difetti strutturali nel sistema dei certificati SSL. CT consente a chiunque di rilevare certificati SSL emessi per errore da un'autorità di certificazione (CA) o acquisiti in modo intenzionale da un'autorità di certificazione altrimenti inattaccabile. Browser, CA e altre parti possono utilizzare CT (insieme ad altre tecniche esistenti) per confermare che un certificato è stato emesso correttamente e quindi aumentare la fiducia.
CT mira a rendere il rilascio e l'esistenza di certificati SSL informazioni aperte e prontamente disponibili - trasparenti, se vuoi.
Ciò consente a CT di fungere da "watchdog CA" per assicurarsi che le CA funzionino come previsto, poiché CT rende molto difficile per una CA emettere un certificato senza che il proprietario del dominio ne sia a conoscenza. I proprietari di siti Web possono interrogare i server CT per assicurarsi che i malintenzionati non abbiano emesso alcun certificato per i loro siti Web.
CT è stato creato nel tentativo di rafforzare la sicurezza generale di Internet creando un framework aperto per il monitoraggio SSL /TLS sistema di certificazione. Questa trasparenza può aiutare a proteggere utenti e siti Web da certificati errati o fraudolenti.
Le CA pubblicano i certificati che emettono in semplici servizi di rete, denominati * Registri certificati *. I registri dei certificati mantengono record crittograficamente garantiti, verificabili pubblicamente e solo in appendice dei certificati emessi. Chiunque può interrogarli o inviare nuove informazioni.
In sostanza, quando un server di registro CT riceve un nuovo certificato, risponde con un Timestamp certificato firmato (SCT). Questo SCT viene utilizzato come prova della data di emissione, solitamente allegandolo al certificato emesso. (C'è più di un modo per fornire SCT, ma questo è per un articolo più dettagliato.)
È importante notare che un certificato viene memorizzato in un registro per sempre: gli elementi possono essere aggiunti a un registro abbastanza facilmente, ma la rimozione è impossibile; anche per certificati scaduti.
I registri CT vengono periodicamente verificati da servizi CT indipendenti specificati nella progettazione CT, vale a dire monitor (che tengono d'occhio i certificati sospetti) e revisori dei conti (che verifica che i log siano affidabili). I monitor possono essere gestiti da autorità di certificazione o altre terze parti, mentre i revisori sono effettivamente integrati nei browser.
È possibile trovare molte più informazioni su come funziona CT qui.
I certificati EV (Extended Validation) sono stati richiesti per supportare CT dal 2015, quando Google l'ha imposto per tutti tali certificati.
Il CT è stato precedentemente applicato anche ad alcuni certificati non EV - ad esempio, tutti i certificati emessi da Symantec da giugno 2016 sono stati tenuti a utilizzare CT, a causa dei problemi riscontrati.
Infine, Google ha iniziato a far rispettare la trasparenza dei certificati in Chrome per tutti i certificati, inclusi Domain Validation (DV) e Organization Validation (OV) nel 30 aprile 2018. Da allora, tutti i certificati di fiducia pubblica devono essere associati a un SCT da un CT qualificato log. Un elenco di tali registri qualificati è gestito da Google qui.
Sebbene CT possa migliorare SSL /TLS sicurezza e fiducia, come qualsiasi nuova tecnologia, potrebbe anche aver avuto conseguenze non intenzionali. I registri CT possono essere visualizzati da chiunque, compresi gli autori di attacchi dannosi. Chiunque può cercare in questi registri i certificati che proteggono importanti domini che si affacciano su Internet, come server proxy o punti di accesso VPN. Scoprendo così la struttura della rete di altre organizzazioni.
Queste informazioni di solito non sono sufficienti per compromettere la posizione di sicurezza di un'organizzazione, ma possono fornire una leva a un utente malintenzionato o un percorso di attacco più semplice in una rete.
Per le applicazioni sensibili in cui la struttura della rete interna non deve essere divulgata, i clienti di SSL.com possono:
1.Ottieni un certificato di dominio con caratteri jolly (ad es. "* .Example.com"), a condizione che possa dimostrare il controllo completo su un dominio, oppure
2. Valuta di acquistare a privatamente di fiducia PKI piano, poiché tale PKInon sono obbligati ad aderire a CT.
In caso di dubbi, contattare un esperto all'indirizzo Support@SSL.com proprio ora e discutere a PKI piano che soddisfa le tue esigenze.
Niente affatto - come cliente, NON dovrai fare nulla di diverso. La TC avviene "dietro le quinte" dal punto di vista dell'utente e SSL.com (o il nostro partner USERTrust) eseguirà tutti i passaggi necessari per garantire che il certificato soddisfi gli standard CT e funzioni come previsto.
