Certificate Transparency (CT) เป็นโครงการที่เริ่มต้นโดย Google โดยมีวัตถุประสงค์เพื่อกำจัดข้อบกพร่องด้านโครงสร้างต่างๆในระบบใบรับรอง SSL CT อนุญาตให้ทุกคนตรวจพบใบรับรอง SSL ที่ออกโดยหน่วยงานออกใบรับรอง (CA) ผิดพลาดหรือได้มาโดยเจตนาร้ายจาก CA ที่ไม่สามารถเข้าถึงได้ เบราว์เซอร์ CA และฝ่ายอื่น ๆ สามารถใช้ CT (ควบคู่กับเทคนิคอื่น ๆ ที่มีอยู่) เพื่อยืนยันว่ามีการออกใบรับรองอย่างถูกต้องและช่วยเพิ่มความน่าเชื่อถือ
CT มุ่งหวังที่จะทำให้การออกและการมีอยู่ของใบรับรอง SSL เปิดกว้างและข้อมูลที่พร้อมใช้งาน - โปร่งใสหากคุณต้องการ
วิธีนี้ช่วยให้ CT ทำหน้าที่เป็น“ CA watchdog” เพื่อให้แน่ใจว่า CA ทำงานตามที่คาดไว้เนื่องจาก CT ทำให้ CA ออกใบรับรองได้ยากมากโดยที่เจ้าของโดเมนไม่ทราบ เจ้าของเว็บไซต์สามารถสอบถามเซิร์ฟเวอร์ CT เพื่อให้แน่ใจว่าฝ่ายที่เป็นอันตรายไม่ได้ออกใบรับรองใด ๆ สำหรับเว็บไซต์ของตน
CT ถูกสร้างขึ้นเพื่อเสริมสร้างความปลอดภัยของอินเทอร์เน็ตโดยรวมโดยการสร้างกรอบเปิดสำหรับการตรวจสอบ SSL /TLS ระบบใบรับรอง ความโปร่งใสนี้สามารถช่วยปกป้องผู้ใช้และเว็บไซต์จากใบรับรองที่ไม่ถูกต้องหรือหลอกลวง
CA เผยแพร่ใบรับรองที่ออกในบริการเครือข่ายอย่างง่ายที่เรียกว่า * บันทึกใบรับรอง * บันทึกใบรับรองจะช่วยให้มั่นใจได้ว่าจะมีการเข้ารหัสตรวจสอบได้โดยเปิดเผยต่อสาธารณะและต่อท้ายเท่านั้นของใบรับรองที่ออกให้ ทุกคนสามารถสืบค้นได้หรือส่งข้อมูลใหม่
โดยพื้นฐานแล้วเมื่อเซิร์ฟเวอร์บันทึก CT ได้รับใบรับรองใหม่เซิร์ฟเวอร์จะตอบสนองด้วย Signed Certificate Timestamp (SCT) SCT นี้ใช้เป็นหลักฐานวันที่ออกโดยปกติจะแนบไปกับใบรับรองที่ออก (มีวิธีส่ง SCT มากกว่าหนึ่งวิธี - แต่สำหรับบทความที่มีรายละเอียดเพิ่มเติม)
สิ่งสำคัญคือต้องทราบว่าใบรับรองจะถูกเก็บไว้ในบันทึกตลอดไป - สามารถเพิ่มรายการลงในบันทึกได้ค่อนข้างง่าย แต่เป็นไปไม่ได้ที่จะลบออก แม้กระทั่งใบรับรองที่หมดอายุ
บันทึก CT มีการตรวจสอบเป็นระยะโดยบริการ CT อิสระที่ระบุในการออกแบบ CT คือ จอภาพ (ซึ่งคอยดูใบรับรองที่น่าสงสัย) และ ผู้สอบบัญชี (ซึ่งตรวจสอบว่าบันทึกมีความน่าเชื่อถือ) จอภาพสามารถดำเนินการโดย CA หรือบุคคลที่สามอื่น ๆ ในขณะที่ผู้ตรวจสอบจะถูกสร้างขึ้นในเบราว์เซอร์
ข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำงานของ CT สามารถพบได้ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
ใบรับรอง Extended Validation (EV) จำเป็นต้องให้การสนับสนุน CT ตั้งแต่ปี 2015 เมื่อ Google กำหนดให้ใช้ใบรับรองดังกล่าวทั้งหมด
ก่อนหน้านี้ CT ได้ถูกนำไปใช้กับใบรับรองที่ไม่ใช่ EV เช่นกันตัวอย่างเช่นใบรับรองทั้งหมดที่ไซแมนเทคออกให้ตั้งแต่เดือนมิถุนายน 2016 จำเป็นต้องใช้ CT เนื่องจากปัญหาที่พบ
ท้ายที่สุด Google เริ่มบังคับใช้ความโปร่งใสของใบรับรองใน Chrome สำหรับใบรับรองทั้งหมดรวมถึงการตรวจสอบความถูกต้องของโดเมน (DV) และการตรวจสอบความถูกต้องขององค์กร (OV) ในวันที่ 30 เมษายน 2018 ตั้งแต่นั้นมาใบรับรองที่เชื่อถือได้ทั่วไปทั้งหมด เข้าสู่ระบบ Google จะเก็บรักษารายการบันทึกที่ผ่านการรับรองดังกล่าว โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
แม้ว่า CT สามารถปรับปรุง SSL /TLS ความปลอดภัยและความไว้วางใจเช่นเดียวกับเทคโนโลยีใหม่ใด ๆ ที่อาจเกิดขึ้นโดยไม่ได้ตั้งใจ ทุกคนสามารถดูบันทึก CT ได้รวมถึงผู้โจมตีที่เป็นอันตราย ทุกคนสามารถค้นหาใบรับรองเหล่านี้เพื่อปกป้องโดเมนที่สำคัญต่ออินเทอร์เน็ตเช่นพร็อกซีเซิร์ฟเวอร์หรือจุดเข้าใช้งาน VPN จึงได้เห็นโครงสร้างเครือข่ายขององค์กรอื่น ๆ
โดยทั่วไปข้อมูลนี้ไม่เพียงพอที่จะประนีประนอมท่าทางการรักษาความปลอดภัยขององค์กร แต่สามารถให้ประโยชน์แก่ผู้โจมตีหรือสร้างเส้นทางการโจมตีเข้าสู่เครือข่ายได้ง่ายขึ้น
สำหรับแอปพลิเคชันที่มีความละเอียดอ่อนซึ่งต้องไม่เปิดเผยโครงสร้างเครือข่ายภายในลูกค้า SSL.com สามารถ:
1. ขอรับใบรับรองโดเมนตัวแทน (เช่น“ * .example.com”) โดยมีเงื่อนไขว่าสามารถแสดงการควบคุมโดเมนได้อย่างสมบูรณ์หรือ
2. พิจารณาจัดซื้อก สองต่อสอง ที่เชื่อถือ PKI แผนตั้งแต่นั้นมา PKIs ไม่จำเป็นต้องปฏิบัติตาม CT
หากไม่แน่ใจกรุณาติดต่อผู้เชี่ยวชาญที่ Support@SSL.com ตอนนี้และหารือเกี่ยวกับ PKI วางแผนที่ตอบสนองความต้องการของคุณ
ไม่เลย - ในฐานะลูกค้าคุณไม่จำเป็นต้องทำอะไรที่แตกต่างออกไป CT เกิดขึ้น 'เบื้องหลัง' จากมุมมองของผู้ใช้และ SSL.com (หรือพันธมิตร USERTrust ของเรา) จะดำเนินการตามขั้นตอนที่จำเป็นทั้งหมดเพื่อให้แน่ใจว่าใบรับรองของคุณเป็นไปตามมาตรฐาน CT และดำเนินการตามที่คาดไว้
