인증서 투명성 (CT)은 SSL 인증서 시스템의 다양한 구조적 결함을 제거하기 위해 Google에서 시작한 프로젝트입니다. CT를 사용하면 누구나 인증 기관 (CA)에서 실수로 발급했거나 무단 CA에서 악의적으로 획득 한 SSL 인증서를 탐지 할 수 있습니다. 브라우저, CA 및 기타 당사자는 CT (기존의 다른 기술과 함께)를 사용하여 인증서가 올바르게 발행되었음을 확인하여 신뢰를 향상시킬 수 있습니다.
CT는 SSL 인증서의 발급 및 존재를 공개하고 즉시 사용할 수있는 정보를 투명하게 만드는 것을 목표로합니다.
이렇게하면 CT가 CA가 예상대로 작동하는지 확인하는 "CA 감시자"역할을 할 수 있습니다. CT는 도메인 소유자가 알지 못하는 경우 CA가 인증서를 발급하는 것을 매우 어렵게 만들기 때문입니다. 웹 사이트 소유자는 CT 서버에 쿼리하여 악의적 인 당사자가 웹 사이트에 대한 인증서를 발급하지 않았는지 확인할 수 있습니다.
CT는 SSL / 모니터링을위한 개방형 프레임 워크를 만들어 전반적인 인터넷 보안을 강화하기 위해 만들어졌습니다.TLS 인증서 시스템. 이 투명성은 사용자 또는 웹 사이트를 부정확하거나 사기성 인 인증서로부터 보호하는 데 도움이됩니다.
CA는 * 인증서 로그 *라는 간단한 네트워크 서비스에서 발급 한 인증서를 게시합니다. 인증서 로그는 암호로 보증되고 공개적으로 감사 가능하며 발급 된 인증서의 추가 전용 레코드를 유지 관리합니다. 누구나 질문하거나 새로운 정보를 제출할 수 있습니다.
기본적으로 CT 로그 서버가 새 인증서를 받으면 서명 된 인증서 타임 스탬프 (SCT)로 응답합니다. 이 SCT는 일반적으로 발급 된 인증서에 첨부하여 발급 날짜의 증거로 사용됩니다. (SCT를 제공하는 방법은 여러 가지가 있지만 더 자세한 기사를위한 것입니다.)
인증서는 로그에 영원히 저장된다는 점에 유의하는 것이 중요합니다. 항목은 로그에 매우 쉽게 추가 할 수 있지만 제거는 불가능합니다. 만료 된 인증서도 마찬가지입니다.
CT 로그는 CT 디자인에 지정된 독립적 인 CT 서비스, 즉 모니터 (의심스러운 인증서를 주시하십시오) 및 감사 (로그를 신뢰할 수 있는지 확인). 감사자는 실제로 브라우저에 내장되어있는 동안 CA 또는 기타 타사에서 모니터를 실행할 수 있습니다.
CT의 작동 방식에 대한 더 많은 정보를 찾을 수 있습니다 여기에서 지금 확인해 보세요..
Google이 이러한 모든 인증서에 대해이를 적용한 2015 년 이후 CT를 지원하려면 EV (Extended Validation) 인증서가 필요했습니다.
CT는 이전에 일부 비 EV 인증서에도 적용되었습니다. 예를 들어 2016 년 XNUMX 월 이후 시만텍에서 발급 한 모든 인증서는 발생한 문제로 인해 CT를 사용해야했습니다.
마지막으로 Google은 30 년 2018 월 XNUMX 일에 DC (Domain Validation) 및 OV (Organization Validation)를 포함한 모든 인증서에 대해 Chrome에서 인증서 투명성을 시행하기 시작했습니다. 이후 공개적으로 신뢰할 수있는 모든 인증서는 적격 CT의 SCT와 연결되어야합니다. 로그. 이러한 정규화 된 로그 목록은 Google에서 관리합니다. 여기에서 지금 확인해 보세요..
CT는 전반적인 SSL /TLS 보안과 신뢰는 새로운 기술과 마찬가지로 의도하지 않은 결과를 초래할 수도 있습니다. 악의적 인 공격자를 포함하여 누구나 CT 로그를 볼 수 있습니다. 프록시 서버 나 VPN 진입 점과 같은 중요한 인터넷 연결 도메인을 보호하는 인증서를 누구나이 로그를 통해 검색 할 수 있습니다. 이로써 다른 조직의 네트워크 구조를 엿볼 수 있습니다.
이 정보는 일반적으로 조직의 보안 태세를 손상 시키기에는 충분하지 않지만 공격자에게 레버리지를 제공하거나 네트워크에 대한 더 쉬운 공격 경로를 제공 할 수 있습니다.
내부 네트워크 구조를 공개하지 않아야하는 민감한 응용 프로그램의 경우 SSL.com 고객은 다음을 수행 할 수 있습니다.
1. 도메인에 대한 완전한 제어를 입증 할 수있는 경우 와일드 카드 도메인 (예 : "* .example.com") 인증서를 얻습니다.
2. 구매 고려 몰래 신뢰할 수있는 PKI 그런 계획이기 때문에 PKICT를 준수 할 의무는 없습니다.
확실하지 않은 경우 전문가에게 문의하십시오. Support@SSL.com 지금 토론하고 PKI 귀하의 요구를 충족시키는 계획.
전혀 그렇지 않습니다. 고객으로서 여러분은 다른 조치를 취할 필요가 없습니다. CT는 사용자의 관점에서 '뒤에서'발생하며 SSL.com (또는 당사의 USERTrust 파트너)은 인증서가 CT 표준을 충족하고 예상대로 작동하는지 확인하기 위해 필요한 모든 단계를 수행합니다.
