O Certificate Transparency (CT) é um projeto iniciado pelo Google com o objetivo de eliminar várias falhas estruturais no sistema de certificados SSL. O CT permite que qualquer pessoa detecte certificados SSL que foram emitidos por engano por uma Autoridade de Certificação (CA), ou adquiridos de forma mal-intencionada de uma CA que de outra forma seria incontestável. Navegadores, CAs e outras partes podem usar CT (junto com outras técnicas existentes) para confirmar se um certificado foi emitido corretamente e, assim, aumentar a confiança.
O objetivo do CT é tornar a emissão e existência de certificados SSL abertos e informações prontamente disponíveis - transparentes, se você quiser.
Isso permite que o CT sirva como um “watchdog de CA” para garantir que os CAs estejam operando conforme o esperado, uma vez que o CT torna muito difícil para um CA emitir um certificado sem o conhecimento do proprietário do domínio. Os proprietários de sites podem consultar os servidores CT para garantir que partes mal-intencionadas não emitiram nenhum certificado para seus sites.
CT foi criado em um esforço para fortalecer a segurança geral da Internet, criando uma estrutura aberta para monitorar o SSL /TLS sistema de certificação. Essa transparência pode ajudar a proteger usuários e sites contra certificados incorretos ou fraudulentos.
As autoridades de certificação publicam certificados emitidos em serviços de rede simples, chamados * Logs de certificados *. Os logs de certificado mantêm registros criptograficamente garantidos, auditáveis publicamente e apenas anexados aos certificados emitidos. Qualquer pessoa pode consultá-los ou enviar novas informações.
Essencialmente, quando um servidor de log CT recebe um novo certificado, ele responde com um Signed Certificate Timestamp (SCT). Este SCT é usado como prova da data de emissão, geralmente anexando-o ao certificado emitido. (Há mais de uma maneira de fornecer SCTs - mas isso é para um artigo mais detalhado.)
É importante observar que um certificado é armazenado em um log para sempre - os itens podem ser adicionados a um log com bastante facilidade, mas a remoção é impossível; mesmo para certificados expirados.
Os registros de TC são verificados periodicamente por serviços independentes de TC especificados no projeto do TC, monitores (que fica atento a certificados suspeitos) e auditores (que verifica se os logs são confiáveis). Os monitores podem ser executados por autoridades de certificação ou por terceiros, enquanto os auditores são incorporados aos navegadores.
Podem ser encontradas muito mais informações sobre como a TC funciona aqui.
Os certificados de Validação estendida (EV) são necessários para dar suporte ao CT desde 2015, quando o Google o impôs a todos esses certificados.
O CT também foi aplicado anteriormente a alguns certificados não EV - por exemplo, todos os certificados emitidos pela Symantec desde junho de 2016 foram obrigados a utilizar o CT, devido a problemas encontrados.
Finalmente, o Google começou a aplicar a Transparência de certificados no Chrome para todos os certificados, incluindo Validação de Domínio (DV) e Validação de Organização (OV) em 30 de abril de 2018. Desde então, todos os certificados publicamente confiáveis precisam estar associados a um SCT de um CT qualificado registro. Uma lista desses logs qualificados é mantida pelo Google aqui.
Embora o CT possa melhorar o SSL geral /TLS segurança e confiança, como qualquer nova tecnologia que tenha, também sofreram conseqüências não intencionais. Os logs do CT podem ser visualizados por qualquer pessoa, incluindo atacantes maliciosos. Qualquer um pode pesquisar nesses logs por certificados que protegem domínios importantes da Internet, como servidores proxy ou pontos de entrada da VPN. Desse modo, vislumbre a estrutura de rede de outras organizações.
Essas informações geralmente não são suficientes para comprometer a postura de segurança de uma organização, mas podem fornecer uma vantagem para um invasor ou um caminho de ataque mais fácil para uma rede.
Para aplicativos confidenciais em que a estrutura da rede interna não deve ser divulgada, os clientes SSL.com podem:
1. Obtenha um certificado de domínio curinga (por exemplo, “* .example.com”), desde que eles possam demonstrar controle completo sobre um domínio, ou
2. Considere comprar um em particular confiável PKI plano, uma vez que PKIs não são obrigados a aderir ao CT.
Se não tiver certeza, entre em contato com um especialista em Support@SSL.com agora e discutir um PKI plano que satisfaça suas necessidades.
De forma alguma - como cliente, você NÃO precisará fazer nada diferente. A TC acontece 'nos bastidores' da perspectiva do usuário, e SSL.com (ou nosso parceiro USERTrust) executará todas as etapas necessárias para garantir que seu certificado atenda aos padrões de CT e funcione conforme o esperado.