Vragen over certificaattransparantie

Wat is certificaattransparantie?

Certificate Transparency (CT) is een door Google gestart project dat tot doel heeft verschillende structurele gebreken in het SSL-certificaatsysteem te elimineren. Met CT kan iedereen SSL-certificaten detecteren die per ongeluk zijn uitgegeven door een certificeringsinstantie (CA) of opzettelijk zijn verkregen van een anderszins onaantastbare CA. Browsers, CA's en andere partijen kunnen CT gebruiken (naast andere bestaande technieken) om te bevestigen dat een certificaat correct is afgegeven en zo het vertrouwen vergroten.

Waarom CT?

CT streeft ernaar de uitgifte en het bestaan ​​van SSL-certificaten open en direct beschikbare informatie te maken - transparant, zo u wilt.

Hierdoor kan CT dienen als een "CA-waakhond" om ervoor te zorgen dat CA's werken zoals verwacht, aangezien CT het erg moeilijk maakt voor een CA om een ​​certificaat uit te geven zonder medeweten van een domeineigenaar. Eigenaren van websites kunnen CT-servers opvragen om er zeker van te zijn dat kwaadwillenden geen certificaat voor hun websites hebben uitgegeven.

CT is gemaakt om de algehele internetbeveiliging te versterken door een open raamwerk te creëren voor het bewaken van de SSL /TLS certificaatsysteem. Deze transparantie kan gebruikers en websites helpen beschermen tegen onjuiste of frauduleuze certificaten.

Hoe werkt CT?

CA's publiceren certificaten die ze uitgeven in eenvoudige netwerkdiensten, genaamd * Certificate Logs *. Certificaatlogboeken houden cryptografisch verzekerde, openbaar controleerbare en alleen bijgevoegde gegevens bij van uitgegeven certificaten. Iedereen kan ze opvragen of nieuwe informatie indienen.

Wanneer een CT-logserver een nieuw certificaat ontvangt, reageert deze in wezen met een Signed Certificate Timestamp (SCT). Deze SCT wordt gebruikt als bewijs van de uitgiftedatum, meestal door deze bij het afgegeven certificaat te voegen. (Er is meer dan één manier om SCT's af te leveren, maar dat is voor een meer gedetailleerd artikel.)

Het is belangrijk op te merken dat een certificaat voor altijd in een logboek wordt opgeslagen - items kunnen vrij eenvoudig aan een logboek worden toegevoegd, maar verwijderen is onmogelijk; zelfs voor verlopen certificaten.

CT-logboeken worden periodiek geverifieerd door onafhankelijke CT-services die zijn gespecificeerd in het CT-ontwerp, namelijk monitors (die opletten voor verdachte certificaten) en accountants (die verifiëren dat logboeken betrouwbaar zijn). Monitors kunnen worden beheerd door CA's of andere derde partijen, terwijl auditors eigenlijk in browsers zijn ingebouwd.
Veel meer informatie over hoe CT werkt, is te vinden hier..

Wanneer is CT gebeurd?

Extended Validation (EV) -certificaten zijn vereist om CT te ondersteunen sinds 2015, toen Google het voor al dergelijke certificaten oplegde.

CT is eerder ook toegepast op een aantal niet-EV-certificaten - zo moesten alle certificaten die Symantec sinds juni 2016 heeft uitgegeven, bijvoorbeeld CT gebruiken vanwege problemen die ze tegenkwamen.

Ten slotte is Google op 30 april 2018 begonnen met het afdwingen van certificaattransparantie in Chrome voor alle certificaten, inclusief Domain Validation (DV) en Organization Validation (OV). Sindsdien moeten alle openbaar vertrouwde certificaten worden gekoppeld aan een SCT van een gekwalificeerde CT logboek. Google houdt een lijst bij van dergelijke gekwalificeerde logboeken hier..

Zijn er problemen om op te letten?

Hoewel CT de algehele SSL /TLS veiligheid en vertrouwen, zoals bij elke nieuwe technologie kan het ook onbedoelde gevolgen hebben gehad. CT-logboeken kunnen door iedereen worden bekeken, ook door kwaadwillende aanvallers. Iedereen kan in deze logboeken zoeken naar certificaten die belangrijke internetdomeinen beschermen, zoals proxyservers of VPN-toegangspunten. Daarbij een glimp opvangen van de netwerkstructuur van andere organisaties.

Deze informatie is meestal niet voldoende om de beveiligingshouding van een organisatie in gevaar te brengen, maar het kan een aanvaller een hefboomeffect of een gemakkelijker aanvalspad op een netwerk bieden.

Voor gevoelige toepassingen waarbij de interne netwerkstructuur niet mag worden onthuld, kunnen klanten van SSL.com:

1. een wildcard-domein (bijv. "* .Example.com") -certificaat verkrijgen, op voorwaarde dat ze volledige controle over een domein kunnen aantonen, of
2. Overweeg om een privé vertrouwde PKI plan, aangezien dergelijke PKIs zijn niet verplicht om zich aan CT te houden.

Neem bij twijfel contact op met een expert op Support@SSL.com en bespreek een PKI plan dat aan uw behoeften voldoet.

Is dit van invloed op hoe ik mijn certificaat krijg?

Helemaal niet - als klant hoeft u niets anders te doen. CT vindt 'achter de schermen' plaats vanuit het perspectief van de gebruiker, en SSL.com (of onze USERTrust-partner) zal alle vereiste stappen uitvoeren om ervoor te zorgen dat uw certificaat voldoet aan de CT-normen en presteert zoals verwacht.

Bedankt voor het kiezen van SSL.com! Als u vragen heeft, neem dan contact met ons op via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.