Sertifika Şeffaflığı (CT), SSL sertifika sistemindeki çeşitli yapısal kusurları ortadan kaldırmayı amaçlayan, Google tarafından başlatılan bir projedir. CT, herhangi birinin, bir Sertifika Yetkilisi (CA) tarafından yanlışlıkla verilen veya başka şekilde ele geçirilemez bir CA'dan kötü niyetle alınmış SSL sertifikalarını tespit etmesine izin verir. Tarayıcılar, CA'lar ve diğer taraflar, bir sertifikanın doğru şekilde verildiğini doğrulamak ve böylece güveni artırmak için CT'yi (diğer mevcut tekniklerin yanı sıra) kullanabilir.
CT, SSL sertifikalarının verilmesini ve varlığını açık ve kolayca elde edilebilir bilgileri - eğer isterseniz şeffaf hale getirmeyi amaçlamaktadır.
Bu, CT'nin CA'ların beklendiği gibi çalıştığından emin olmak için bir "CA bekçi köpeği" görevi görmesini sağlar, çünkü CT, bir CA'nın bir alan sahibinin bilgisi olmadan bir sertifika vermesini çok zorlaştırır. Web sitesi sahipleri, kötü niyetli kişilerin web siteleri için herhangi bir sertifika vermediğinden emin olmak için CT sunucularını sorgulayabilir.
CT, SSL'yi izlemek için açık bir çerçeve oluşturarak genel İnternet güvenliğini güçlendirmek amacıyla oluşturulmuştur.TLS sertifika sistemi. Bu şeffaflık, kullanıcıların ve web sitelerinin yanlış veya hileli sertifikalardan korunmasına yardımcı olabilir.
CA'lar, verdikleri sertifikaları * Sertifika Günlükleri * adı verilen basit ağ hizmetlerinde yayınlar. Sertifika günlükleri, verilen sertifikaların kriptografik olarak güvence altına alınmış, genel olarak denetlenebilir ve yalnızca ek kayıtlarını tutar. Herkes bunları sorgulayabilir veya yeni bilgiler gönderebilir.
Esasen, bir CT günlük sunucusu yeni bir sertifika aldığında, bir İmzalı Sertifika Zaman Damgası (SCT) ile yanıt verir. Bu ÖTV, genellikle verilen sertifikaya iliştirilerek düzenlenme tarihinin kanıtı olarak kullanılır. (ÖTV sunmanın birden fazla yolu vardır - ancak bu daha ayrıntılı bir makale içindir.)
Bir sertifikanın bir günlükte sonsuza kadar saklandığını unutmamak önemlidir - öğeler bir günlüğe oldukça kolay bir şekilde eklenebilir, ancak kaldırılması imkansızdır; süresi dolmuş sertifikalar için bile.
CT günlükleri, CT tasarımında belirtilen bağımsız CT hizmetleri tarafından periyodik olarak doğrulanır. monitörler (şüpheli sertifikalara dikkat edin) ve denetçiler (günlüklerin güvenilir olduğunu doğrular). Monitörler CA'lar veya diğer üçüncü taraflar tarafından çalıştırılabilirken, denetçiler aslında tarayıcılara yerleştirilmiştir.
BT'nin nasıl çalıştığı hakkında daha fazla bilgi bulunabilir okuyun.
Google'ın bu tür sertifikalar için dayattığı 2015'ten bu yana CT'yi desteklemek için Genişletilmiş Doğrulama (EV) sertifikaları gerekiyor.
CT daha önce birkaç EV dışı sertifikaya da uygulanmıştı - örneğin, Haziran 2016'dan beri Symantec tarafından verilen tüm sertifikaların karşılaştıkları sorunlar nedeniyle CT kullanmaları gerekiyordu.
Son olarak, Google, 30 Nisan 2018'de Alan Doğrulaması (DV) ve Kuruluş Doğrulaması (OV) dahil olmak üzere tüm sertifikalar için Chrome'da Sertifika Şeffaflığını zorunlu kılmaya başladı. O zamandan beri, herkese açık tüm güvenilir sertifikaların nitelikli bir CT'den bir SCT ile ilişkilendirilmesi gerekiyor log. Bu tür nitelikli günlüklerin bir listesi Google tarafından tutulur okuyun.
CT genel SSL'yi iyileştirebilse de /TLS güvenlik ve güven, yeni teknolojiler gibi, istenmeyen sonuçlara da yol açmıştır. BT günlükleri, kötü niyetli saldırganlar da dahil olmak üzere herkes tarafından görüntülenebilir. Herkes bu günlüklerde proxy sunucuları veya VPN giriş noktaları gibi Internet'e yönelik önemli etki alanlarını koruyan sertifikalar arayabilir. Böylece diğer kuruluşların ağ yapısına bir bakış atmak.
Bu bilgiler genellikle bir kuruluşun güvenlik duruşunu tehlikeye atmak için yeterli değildir, ancak bir saldırgana kaldıraç veya ağa daha kolay bir saldırı yolu sağlayabilir.
Dahili ağ yapısının açıklanmaması gereken hassas uygulamalar için SSL.com müşterileri şunları yapabilir:
1. Bir etki alanı üzerinde tam kontrol sahibi olduklarını gösterebilmeleri koşuluyla, bir joker etki alanı (ör. "* .Example.com") sertifikası edinin veya
2. Bir satın almayı düşünün özel Güvenilir PKI plan, çünkü böyle PKICT'ye uymak zorunda değildir.
Emin değilseniz, lütfen şu adresten bir uzmana başvurun: Support@SSL.com şimdi ve bir PKI ihtiyaçlarınızı karşılayan bir plan.
Hiç de değil - bir müşteri olarak farklı bir şey yapmanıza gerek YOKTUR. CT, bir kullanıcının bakış açısından 'perde arkasında' gerçekleşir ve SSL.com (veya USERTrust ortağımız), sertifikanızın CT standartlarını karşıladığından ve beklendiği gibi çalıştığından emin olmak için gerekli tüm adımları gerçekleştirecektir.
