证书透明度(CT)是Google发起的一个项目,旨在消除SSL证书系统中的各种结构缺陷。 CT允许任何人检测由证书颁发机构(CA)错误颁发的SSL证书,或从原本不可篡改的CA中恶意获取的SSL证书。 浏览器,CA和其他方可以使用CT(以及其他现有技术)来确认证书已正确颁发,从而增强了信任度。
CT的目的是使SSL证书的发行和存在公开且易于获得-透明(如果您愿意)。
这使CT可以充当“ CA监督者”以确保CA正常运行,因为CT使得CA在域所有者不知情的情况下很难颁发证书。 网站所有者可以查询CT服务器,以确保恶意方没有为其网站颁发任何证书。
创建CT是为了通过创建一个用于监视SSL /的开放框架来增强整体Internet安全性TLS 证书系统。 这种透明性可以帮助保护用户和网站免受错误或欺诈性证书的侵害。
CA将它们发布的证书发布在称为“证书日志”的简单网络服务中。 证书日志维护已发行证书的加密保证,可公开审核和仅附加记录。 任何人都可以查询它们或提交新信息。
本质上,当CT日志服务器收到新证书时,它将以签名证书时间戳(SCT)进行响应。 该SCT通常用作证书颁发日期的证明,通常将其附加到已颁发的证书上。 (提供SCT的方法不止一种-但这是更详细的文章。)
重要的是要注意,证书永远存储在日志中–可以相当容易地将项目添加到日志中,但是无法删除; 即使是过期的证书。
CT日志由CT设计中指定的独立CT服务定期验证,即 显示器 (请注意可疑证书)和 核数师 (验证日志是可信赖的)。 监视器可以由CA或其他第三方来运行,而审核器实际上是内置在浏览器中的。
可以找到有关CT工作原理的更多信息 点击此处.
自2015年Google对所有此类证书强制使用CT以来,就需要扩展验证(EV)证书来支持CT。
CT以前也已应用于一些非EV证书–例如,赛门铁克自2016年XNUMX月以来发行的所有证书都必须使用CT,因为它们遇到了问题。
最后,谷歌于30年2018月XNUMX日开始对所有证书(包括域验证(DV)和组织验证(OV))在Chrome中强制实施证书透明性。此后,所有公开受信任的证书都必须与合格的CT的SCT关联日志。 此类合格日志的列表由Google维护。 点击此处.
尽管CT可以改善总体SSL /TLS 安全和信任,就像任何新技术一样,也可能引起意想不到的后果。 任何人(包括恶意攻击者)都可以查看CT日志。 任何人都可以在这些日志中搜索用于保护重要的面向Internet的域的证书,例如代理服务器或VPN入口点。 从而了解其他组织的网络结构。
这些信息通常不足以损害组织的安全状况,但可以为攻击者提供杠杆,或者为进入网络提供更轻松的攻击路径。
对于不允许公开内部网络结构的敏感应用程序,SSL.com客户可以:
1.获得通配符域(例如“ * .example.com”)证书,前提是它们可以证明对域的完全控制,或者
2.考虑购买 私自 信任 PKI 计划,因为这样 PKI不必强制遵守CT。
如果不确定,请通过以下方式与专家联系 Support@SSL.com 现在讨论 PKI 满足您需求的计划。
完全没有-作为客户,您将不需要做任何其他改变。 从用户的角度来看,CT发生在“幕后”,SSL.com(或我们的USERTrust合作伙伴)将执行所有必需的步骤,以确保您的证书符合CT标准并按预期执行。
