Spørsmål om Certificate Transparency

Hva er sertifikatgjennomsiktighet?

Certificate Transparency (CT) er et prosjekt startet av Google, med sikte på å eliminere ulike strukturelle feil i SSL-sertifikatsystemet. CT tillater hvem som helst å oppdage SSL-sertifikater som feilaktig er utstedt av en Certificate Authority (CA), eller skadelig ervervet fra en ellers uoverkommelig CA. Nettlesere, CAer og andre parter kan bruke CT (sammen med andre eksisterende teknikker) for å bekrefte at et sertifikat ble riktig utstedt og dermed øke tilliten.

Hvorfor CT?

CT har som mål å gjøre utstedelse og eksistens av SSL-sertifikater åpen og lett tilgjengelig informasjon - transparent, hvis du vil.

Dette lar CT fungere som en “CA vakthund” for å sikre at CAer fungerer som forventet, siden CT gjør det veldig vanskelig for en CA å utstede et sertifikat uten en domeneeiers kunnskap. Nettstedseiere kan spørre CT-servere for å sikre at ondsinnede parter ikke utstedte noe sertifikat for sine nettsteder.

CT ble opprettet i et forsøk på å styrke den generelle Internett-sikkerheten ved å skape et åpent rammeverk for overvåking av SSL /TLS sertifikatsystem. Denne gjennomsiktigheten kan bidra til å beskytte brukere og nettsteder mot uriktige eller falske sertifikater.

Hvordan fungerer CT?

CAs publiserer sertifikater de utsteder i enkle nettverkstjenester, kalt * Certificate Logs *. Sertifikatlogger opprettholder kryptografisk sikrede, offentlig reviderbare og kun vedlegg til utstedte sertifikater. Hvem som helst kan spørre dem eller sende inn ny informasjon.

I hovedsak, når en CT-loggserver mottar et nytt sertifikat, svarer den med et signert sertifikat tidsstempel (SCT). Denne SCT brukes som bevis på utstedelsesdatoen, vanligvis ved å feste den til det utstedte sertifikatet. (Det er mer enn en måte å levere SCT-er på - men det er for en mer detaljert artikkel.)

Det er viktig å merke seg at et sertifikat er lagret i en logg for alltid - elementer kan legges til en logg ganske enkelt, men fjerning er umulig. selv for utløpte sertifikater.

CT-logger blir periodisk verifisert av uavhengige CT-tjenester som er spesifisert i CT-designen, nemlig skjermer (som holder øye med mistenkelige sertifikater) og revisorer (som bekrefter at loggene er pålitelige). Monitorer kan kjøres av CA eller andre tredjeparter, mens revisorer faktisk er innebygd i nettlesere.
Mye mer informasjon om hvordan CT fungerer kan bli funnet her..

Når skjedde CT?

EV-sertifikater (utvidet validering) har vært påkrevd for å støtte CT siden 2015, da Google påla det for alle slike sertifikater.

CT har tidligere blitt brukt på noen få ikke-EV-sertifikater - for eksempel har alle sertifikater utstedt av Symantec siden juni 2016 blitt pålagt å bruke CT på grunn av problemer de har opplevd.

Endelig begynte Google å håndheve Certificate Transparency i Chrome for alle sertifikater, inkludert Domenevalidering (DV) og Organisasjonsvalidering (OV) i 30. april 2018. Siden har alle offentlig pålitelige sertifikater blitt tilknyttet en SCT fra en kvalifisert CT Logg. En liste over slike kvalifiserte logger opprettholdes av Google her..

Noen problemer å være klar over?

Selv om CT kan forbedre SSL /TLS sikkerhet og tillit, som enhver ny teknologi, kan det også ha medført utilsiktede konsekvenser. CT-logger kan sees av alle, inkludert ondsinnede angripere. Alle kan søke gjennom disse loggene for sertifikater som beskytter viktige domener som er vendt mot Internett, for eksempel proxy-servere eller VPN-inngangspunkter. Dermed får du et glimt av nettverksstrukturen til andre organisasjoner.

Denne informasjonen er vanligvis ikke nok til å kompromittere en organisasjons sikkerhetsstilling, men den kan gi innflytelse til en angriper, eller en lettere angrepsvei inn i et nettverk.

For sensitive applikasjoner der intern nettverksstruktur ikke skal avsløres, kan SSL.com-kunder:

1. Få et sertifikat med jokertegn (f.eks. “* .Eksempel.com”), forutsatt at de kan demonstrere full kontroll over et domene, eller
2. Vurder å kjøpe en privat klarert PKI plan, siden slik PKIs er ikke forpliktet til å følge CT.

Hvis du er usikker, kan du kontakte en ekspert på Support@SSL.com akkurat nå og diskuter en PKI plan som tilfredsstiller dine behov.

Vil dette påvirke hvordan jeg får sertifikatet mitt?

Ikke i det hele tatt - som kunde trenger du IKKE å gjøre noe annerledes. CT skjer 'bak kulissene' fra brukerens perspektiv, og SSL.com (eller vår USERTrust-partner) vil utføre alle nødvendige trinn for å sikre at sertifikatet ditt oppfyller CT-standarder og fungerer som forventet.

Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk på chat-koblingen nederst til høyre på denne siden.

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.