Perguntas sobre transparência de certificado

Respondendo a algumas perguntas que ouvimos sobre Transparência de certificados.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

O que é transparência de certificado?

O Certificate Transparency (CT) é um projeto iniciado pelo Google com o objetivo de eliminar várias falhas estruturais no sistema de certificados SSL. O CT permite que qualquer pessoa detecte certificados SSL que foram emitidos por engano por uma Autoridade de Certificação (CA), ou adquiridos de forma mal-intencionada de uma CA que de outra forma seria incontestável. Navegadores, CAs e outras partes podem usar CT (junto com outras técnicas existentes) para confirmar se um certificado foi emitido corretamente e, assim, aumentar a confiança.

Porquê CT?

O objetivo do CT é tornar a emissão e existência de certificados SSL abertos e informações prontamente disponíveis - transparentes, se você quiser.

Isso permite que o CT sirva como um “watchdog de CA” para garantir que os CAs estejam operando conforme o esperado, uma vez que o CT torna muito difícil para um CA emitir um certificado sem o conhecimento do proprietário do domínio. Os proprietários de sites podem consultar os servidores CT para garantir que partes mal-intencionadas não emitiram nenhum certificado para seus sites.

CT foi criado em um esforço para fortalecer a segurança geral da Internet, criando uma estrutura aberta para monitorar o SSL /TLS sistema de certificação. Essa transparência pode ajudar a proteger usuários e sites contra certificados incorretos ou fraudulentos.

Como o CT funciona?

As autoridades de certificação publicam certificados emitidos em serviços de rede simples, chamados * Logs de certificados *. Os logs de certificado mantêm registros criptograficamente garantidos, auditáveis ​​publicamente e apenas anexados aos certificados emitidos. Qualquer pessoa pode consultá-los ou enviar novas informações.

Essencialmente, quando um servidor de log CT recebe um novo certificado, ele responde com um Signed Certificate Timestamp (SCT). Este SCT é usado como prova da data de emissão, geralmente anexando-o ao certificado emitido. (Há mais de uma maneira de fornecer SCTs - mas isso é para um artigo mais detalhado.)

É importante observar que um certificado é armazenado em um log para sempre - os itens podem ser adicionados a um log com bastante facilidade, mas a remoção é impossível; mesmo para certificados expirados.

Os registros de TC são verificados periodicamente por serviços independentes de TC especificados no projeto do TC, monitores (que fica atento a certificados suspeitos) e auditores (que verifica se os logs são confiáveis). Os monitores podem ser executados por autoridades de certificação ou por terceiros, enquanto os auditores são incorporados aos navegadores.
Podem ser encontradas muito mais informações sobre como a TC funciona aqui.

Quando a TC aconteceu?

Os certificados de Validação estendida (EV) são necessários para dar suporte ao CT desde 2015, quando o Google o impôs a todos esses certificados.

O CT também foi aplicado anteriormente a alguns certificados não EV - por exemplo, todos os certificados emitidos pela Symantec desde junho de 2016 foram obrigados a utilizar o CT, devido a problemas encontrados.

Finalmente, o Google começou a aplicar a Transparência de certificados no Chrome para todos os certificados, incluindo Validação de Domínio (DV) e Validação de Organização (OV) em 30 de abril de 2018. Desde então, todos os certificados publicamente confiáveis ​​precisam estar associados a um SCT de um CT qualificado registro. Uma lista desses logs qualificados é mantida pelo Google aqui.

Algum problema para você estar ciente?

Embora o CT possa melhorar o SSL geral /TLS segurança e confiança, como qualquer nova tecnologia que tenha, também sofreram conseqüências não intencionais. Os logs do CT podem ser visualizados por qualquer pessoa, incluindo atacantes maliciosos. Qualquer um pode pesquisar nesses logs por certificados que protegem domínios importantes da Internet, como servidores proxy ou pontos de entrada da VPN. Desse modo, vislumbre a estrutura de rede de outras organizações.

Essas informações geralmente não são suficientes para comprometer a postura de segurança de uma organização, mas podem fornecer uma vantagem para um invasor ou um caminho de ataque mais fácil para uma rede.

Para aplicativos confidenciais em que a estrutura da rede interna não deve ser divulgada, os clientes SSL.com podem:

1. Obtenha um certificado de domínio curinga (por exemplo, “* .example.com”), desde que eles possam demonstrar controle completo sobre um domínio, ou
2. Considere comprar um em particular confiável PKI plano, uma vez que PKIs não são obrigados a aderir ao CT.

Se não tiver certeza, entre em contato com um especialista em Support@SSL.com agora e discutir um PKI plano que satisfaça suas necessidades.

Isso afetará como eu recebo meu certificado?

De forma alguma - como cliente, você NÃO precisará fazer nada diferente. A TC acontece 'nos bastidores' da perspectiva do usuário, e SSL.com (ou nosso parceiro USERTrust) executará todas as etapas necessárias para garantir que seu certificado atenda aos padrões de CT e funcione conforme o esperado.

Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou clique no link de bate-papo no canto inferior direito desta página.

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.