Certificate Transparency (CT) - это проект, начатый Google, направленный на устранение различных структурных недостатков в системе сертификатов SSL. CT позволяет любому обнаруживать сертификаты SSL, которые были ошибочно выданы центром сертификации (ЦС) или злонамеренно получены от безупречного ЦС. Браузеры, центры сертификации и другие стороны могут использовать CT (наряду с другими существующими методами), чтобы подтвердить, что сертификат был выпущен правильно, и тем самым повысить доверие.
CT стремится сделать выпуск и существование сертификатов SSL открытыми и легкодоступной информацией - если хотите, прозрачной.
Это позволяет CT выполнять роль «сторожевого пса CA», чтобы убедиться, что CA работают должным образом, поскольку CT очень затрудняет выдачу сертификата CA без ведома владельца домена. Владельцы веб-сайтов могут запрашивать серверы CT, чтобы убедиться, что злоумышленники не выпустили сертификаты для их веб-сайтов.
CT был создан в целях повышения общей безопасности Интернета путем создания открытой структуры для мониторинга SSL /TLS система сертификатов. Эта прозрачность может помочь защитить пользователей и веб-сайты от неверных или поддельных сертификатов.
Центры сертификации публикуют сертификаты, которые они выпускают, в простых сетевых службах, называемых * журналами сертификатов *. Журналы сертификатов поддерживают криптографически гарантированные, общедоступные и только добавляемые записи выданных сертификатов. Любой может запросить их или представить новую информацию.
По сути, когда сервер журнала CT получает новый сертификат, он отвечает меткой времени подписанного сертификата (SCT). Этот SCT используется в качестве доказательства даты выдачи, обычно путем прикрепления его к выданному сертификату. (Есть несколько способов доставки SCT - но это для более подробной статьи.)
Важно отметить, что сертификат хранится в журнале навсегда - элементы могут быть добавлены в журнал довольно легко, но удалить невозможно; даже для просроченных сертификатов.
Журналы КТ периодически проверяются независимыми службами КТ, указанными в схеме КТ, а именно Мониторы (которые следят за подозрительными сертификатами) и Аудиторы (которые проверяют, что журналы заслуживают доверия). Мониторы могут запускаться центрами сертификации или другими третьими лицами, в то время как аудиторы фактически встроены в браузеры.
Гораздо больше информации о том, как работает КТ, можно найти здесь.
Сертификаты расширенной проверки (EV) требуются для поддержки CT с 2015 года, когда Google ввел его для всех таких сертификатов.
CT ранее применялся и к нескольким сертификатам не-EV - например, все сертификаты, выпущенные Symantec с июня 2016 года, были необходимы для использования CT из-за проблем, с которыми они столкнулись.
Наконец, Google начал обеспечивать прозрачность сертификатов в Chrome для всех сертификатов, включая проверку домена (DV) и проверку организации (OV), 30 апреля 2018 года. С тех пор все общедоступные сертификаты должны быть связаны с SCT из квалифицированного CT журнал. Список таких квалифицированных журналов ведется Google здесь.
Хотя CT может улучшить общий SSL /TLS безопасность и доверие, как и любая новая технология, также может привести к непредвиденным последствиям. Журналы CT могут просматривать все, включая злоумышленников. Любой может найти в этих журналах сертификаты, защищающие важные интернет-домены, такие как прокси-серверы или точки входа VPN. Тем самым получая представление о сетевой структуре других организаций.
Этой информации обычно недостаточно, чтобы поставить под угрозу состояние безопасности организации, но она может предоставить злоумышленнику рычаги воздействия или более простой путь атаки в сети.
Для конфиденциальных приложений, в которых нельзя раскрывать внутреннюю структуру сети, клиенты SSL.com могут:
1. получить сертификат домена с подстановочными знаками (например, «* .example.com») при условии, что они могут продемонстрировать полный контроль над доменом, или
2. Рассмотреть вопрос о покупке в частном порядке надежных PKI планирую, так как такой PKIs не обязаны придерживаться CT.
Если вы не уверены, пожалуйста, свяжитесь с экспертом по адресу Support@SSL.com прямо сейчас и обсудить PKI план, который удовлетворяет ваши потребности.
Вовсе нет - вам как клиенту НЕ нужно будет ничего делать по-другому. CT происходит «за кулисами» с точки зрения пользователя, и SSL.com (или наш партнер USERTrust) выполнит все необходимые шаги, чтобы ваш сертификат соответствовал стандартам CT и работал так, как ожидалось.
