Certificate Transparency (CT) är ett projekt som startats av Google och syftar till att eliminera olika strukturella brister i SSL-certifikatsystemet. CT tillåter vem som helst att upptäcka SSL-certifikat som felaktigt har utfärdats av en certifikatutfärdare (CA) eller skadligt förvärvats från en annars oöverkomlig CA. Webbläsare, CA och andra parter kan använda CT (tillsammans med andra befintliga tekniker) för att bekräfta att ett certifikat utfärdades korrekt och därmed öka förtroendet.
CT strävar efter att göra utfärdandet och förekomsten av SSL-certifikat öppen och lättillgänglig information - transparent om du vill.
Detta låter CT fungera som en "CA-övervakare" för att se till att CA: er fungerar som förväntat, eftersom CT gör det mycket svårt för en CA att utfärda ett certifikat utan domänägarens vetskap. Webbplatsägare kan fråga CT-servrar för att säkerställa att skadliga parter inte utfärdar något certifikat för sina webbplatser.
CT skapades i ett försök att stärka den totala internetsäkerheten genom att skapa en öppen ram för övervakning av SSL /TLS certifikatsystem. Denna transparens kan skydda användare och webbplatser från felaktiga eller bedrägliga certifikat.
CAs publicerar certifikat som de utfärdar i enkla nätverkstjänster, kallade * Certificate Logs *. Certifikatloggar upprätthåller kryptografiskt säkerställda, offentligt granskade och bifogade register över utfärdade certifikat. Vem som helst kan fråga dem eller skicka in ny information.
I huvudsak, när en CT-loggserver tar emot ett nytt certifikat, svarar den med en signerad certifikattidsstämpel (SCT). Denna SCT används som bevis på utfärdandedatumet, vanligtvis genom att bifoga det till det utfärdade certifikatet. (Det finns mer än ett sätt att leverera SCT - men det är för en mer detaljerad artikel.)
Det är viktigt att notera att ett certifikat lagras i en logg för alltid - objekt kan läggas till i en logg ganska enkelt, men borttagning är omöjligt; även för utgångna certifikat.
CT-loggar verifieras regelbundet av oberoende CT-tjänster som specificeras i CT-designen, nämligen monitorer (som håller koll på misstänkta certifikat) och revisorer (som verifierar att loggar är pålitliga). Bildskärmar kan drivas av CA eller andra tredje parter, medan revisorer faktiskt är inbyggda i webbläsare.
Mycket mer information om hur CT fungerar kan hittas här..
EV-certifikat för utökad validering har krävts för att stödja CT sedan 2015 då Google införde det för alla sådana certifikat.
CT har tidigare tillämpats på ett fåtal icke-EV-certifikat - till exempel har alla certifikat som utfärdats av Symantec sedan juni 2016 varit skyldiga att använda CT på grund av problem de stött på.
Slutligen började Google verkställa certifikatöppenhet i Chrome för alla certifikat, inklusive domänvalidering (DV) och organisationsvalidering (OV) i april 30 2018. Sedan dess måste alla offentligt betrodda certifikat vara associerade med en SCT från en kvalificerad CT logga. En lista över sådana kvalificerade loggar upprätthålls av Google här..
Även om CT kan förbättra övergripande SSL /TLS säkerhet och förtroende, liksom all ny teknik, det kan också ha haft oavsiktliga konsekvenser. CT-loggar kan ses av vem som helst, inklusive skadliga angripare. Vem som helst kan söka igenom dessa loggar efter certifikat som skyddar viktiga domäner som vetter mot internet, t.ex. proxyservrar eller VPN-postpunkter. Därmed få en glimt av nätverksstrukturen för andra organisationer.
Denna information räcker vanligtvis inte för att äventyra en organisations säkerhetsställning, men den kan ge hävstång till en angripare eller en enklare attackväg till ett nätverk.
För känsliga applikationer där intern nätverksstruktur inte får avslöjas kan SSL.com-kunder:
1. Skaffa ett jokerteckendomän (t.ex. "* .exempel.com"), förutsatt att de kan visa fullständig kontroll över en domän, eller
2. Överväg att köpa en privat betrodd PKI plan, eftersom sådan PKIs är inte skyldiga att följa CT.
Om du är osäker, vänligen kontakta en expert på Support@SSL.com just nu och diskutera a PKI plan som uppfyller dina behov.
Inte alls - som kund behöver du INTE göra något annorlunda. CT händer "bakom kulisserna" ur en användares perspektiv, och SSL.com (eller vår USERTrust-partner) kommer att utföra alla nödvändiga steg för att säkerställa att ditt certifikat uppfyller CT-standarder och fungerar som förväntat.
