Certificate Transparency (CT) to projekt rozpoczęty przez Google, mający na celu wyeliminowanie różnych wad strukturalnych w systemie certyfikatów SSL. CT pozwala każdemu wykryć certyfikaty SSL, które zostały omyłkowo wydane przez urząd certyfikacji (CA) lub złośliwie nabyte od nieskazitelnego CA. Przeglądarki, urzędy certyfikacji i inne podmioty mogą używać CT (wraz z innymi istniejącymi technikami), aby potwierdzić, że certyfikat został prawidłowo wystawiony, a tym samym zwiększyć zaufanie.
CT dąży do tego, aby wydawanie i istnienie certyfikatów SSL było jawne i łatwo dostępne - jeśli wolisz, przejrzyste.
Dzięki temu CT może służyć jako „strażnik urzędu certyfikacji”, aby upewnić się, że CA działają zgodnie z oczekiwaniami, ponieważ CT bardzo utrudnia CA wystawienie certyfikatu bez wiedzy właściciela domeny. Właściciele witryn sieci Web mogą wysyłać zapytania do serwerów CT, aby upewnić się, że złośliwe strony nie wystawiły żadnego certyfikatu dla swoich witryn sieci Web.
CT powstał w celu wzmocnienia ogólnego bezpieczeństwa w Internecie poprzez stworzenie otwartej struktury do monitorowania SSL /TLS system certyfikatów. Ta przejrzystość może pomóc chronić użytkowników i strony internetowe przed niepoprawnymi lub fałszywymi certyfikatami.
Urzędy certyfikacji publikują wydawane przez siebie certyfikaty w prostych usługach sieciowych o nazwie * Dzienniki certyfikatów *. Dzienniki certyfikatów przechowują zabezpieczone kryptograficznie, publicznie kontrolowane i dołączane zapisy wydanych certyfikatów. Każdy może je zapytać lub przesłać nowe informacje.
Zasadniczo, gdy serwer dziennika CT otrzyma nowy certyfikat, odpowiada, przesyłając sygnaturę czasową podpisanego certyfikatu (SCT). Ten SCT służy jako dowód daty wystawienia, zazwyczaj poprzez dołączenie go do wystawionego certyfikatu. (Jest więcej niż jeden sposób dostarczania SCT - ale to bardziej szczegółowy artykuł).
Należy zauważyć, że certyfikat jest przechowywany w dzienniku na zawsze - elementy można dodać do dziennika dość łatwo, ale usunięcie jest niemożliwe; nawet w przypadku wygasłych certyfikatów.
Dzienniki CT są okresowo weryfikowane przez niezależne służby CT określone w projekcie CT, a mianowicie monitory (które sprawdzają podejrzane certyfikaty) i audytorzy (które weryfikują wiarygodność dzienników). Monitory mogą być obsługiwane przez urzędy certyfikacji lub inne podmioty zewnętrzne, podczas gdy audytorzy są w rzeczywistości wbudowani w przeglądarki.
Znacznie więcej informacji na temat działania CT można znaleźć tutaj.
Certyfikaty Extended Validation (EV) są wymagane do obsługi CT od 2015 roku, kiedy Google narzuciło go dla wszystkich takich certyfikatów.
CT został wcześniej zastosowany także do kilku certyfikatów innych niż EV - na przykład wszystkie certyfikaty wydane przez Symantec od czerwca 2016 r. Były wymagane do korzystania z CT ze względu na napotkane problemy.
Wreszcie Google zaczęło egzekwować przejrzystość certyfikatów w Chrome dla wszystkich certyfikatów, w tym sprawdzania poprawności domen (DV) i sprawdzania poprawności organizacji (OV) w dniu 30 kwietnia 2018 r. Od tego czasu wszystkie publicznie zaufane certyfikaty muszą być powiązane z SCT z wykwalifikowanego CT log. Lista takich kwalifikowanych dzienników jest prowadzona przez Google tutaj.
Chociaż CT może poprawić ogólny SSL /TLS bezpieczeństwo i zaufanie, podobnie jak każda nowa technologia, może mieć niezamierzone konsekwencje. Dzienniki CT mogą być przeglądane przez każdego, w tym przez złośliwych atakujących. Każdy może przeszukiwać te dzienniki w poszukiwaniu certyfikatów chroniących ważne domeny internetowe, takie jak serwery proxy lub punkty wejścia VPN. W ten sposób można uzyskać wgląd w strukturę sieci innych organizacji.
Informacje te zwykle nie wystarczają, aby zagrozić bezpieczeństwu organizacji, ale mogą zapewnić atakującemu przewagę lub łatwiejszą ścieżkę ataku do sieci.
W przypadku wrażliwych aplikacji, w których nie wolno ujawniać wewnętrznej struktury sieci, klienci SSL.com mogą:
1. uzyskać certyfikat domeny z symbolem wieloznacznym (np. „* .Example.com”), pod warunkiem, że mogą wykazać pełną kontrolę nad domeną lub
2. Rozważ zakup prywatnie zaufany PKI plan, ponieważ takie PKInie są zobowiązani do przestrzegania CT.
W razie wątpliwości skontaktuj się z ekspertem pod adresem Support@SSL.com teraz i przedyskutuj PKI plan, który zaspokoi twoje potrzeby.
Wcale nie - jako klient NIE będziesz musiał robić nic innego. CT dzieje się „za kulisami” z perspektywy użytkownika, a SSL.com (lub nasz partner USERTrust) wykona wszystkie wymagane kroki, aby upewnić się, że Twój certyfikat spełnia standardy CT i działa zgodnie z oczekiwaniami.
