关于证书透明度
发布日期:2018-05-07要向用户提供加密流量,网站必须先向可信的证书授权中心 (CA) 申请证书。然后,当用户尝试访问相应网站时,此证书即会被提供给浏览器以验证该网站。近年来,由于 HTTPS 证书系统存在结构性缺陷,证书以及签发证书的 CA 很容易遭到入侵和操纵。Google 的证书透明度项目旨在通过提供一个用于监测和审核 HTTPS 证书的开放式框架,来保障证书签发流程安全无虞。
您可以使用SSL证书状态查询工具查询某网域在有效且公开的证书透明度日志中的所有证书。网站所有者可在此网站中搜索自己所控制的域名,以确保没有针对其网域误发证书的情况。
Google 鼓励所有 CA 将其签发的证书记录到可公开验证、只能附加内容且不可篡改的日志中。日后,Chrome 和其他浏览器可能会不再接受未记录到此类日志中的证书。
截至 2018年5月7日,由 Google 监测的一系列证书透明度日志中已记录了 1,479,155,639 个条目。
证书和证书授权中心
当您通过安全连接访问某网站时,该网站会向您的浏览器出示一个数字证书。此证书可识别该网站的主机名并验证该网站的所有者。证书是由证书授权中心 (CA) 签发给网站运营商的。只要用户信任相应的证书授权中心,便可信任证书中提供的身份证明信息。新型操作系统通常会随附超过 200 个可信 CA,其中的部分 CA 由政府管理。当今模式要求所有用户都必须相信,现有的数百个 CA 组织在签发证书时都不会出现任何错误。许多大型组织会使用多个 CA 来满足各种各样的需求,其中可能包括合同义务、实施考虑事项和费用。
为什么要采用证书透明度
在某些情况下,人为错误或假冒行为可能会导致误发证书。证书透明度 (CT) 改变了签发流程,新流程规定:证书必须记录到可公开验证、不可篡改且只能附加内容的日志中,用户的网络浏览器才会将其视为有效。通过要求将证书记录到这些公开的 CT 日志中,任何感兴趣的相关方都可以查看由授权中心签发的所有证书。借助该体系,我们可以检测被证书授权中心误发的 SSL 证书,以及发现已失常并恶意签发证书的证书授权中心。这可促使授权中心在签发证书时更加负责,从而有助于形成一个更可靠的系统。
本文转自谷歌透明度报告 transparencyreport.google.com,更新于2018年5月7日
相关资讯推荐
“证书透明度”旨在通过使域名所有者,CA和域用户对SSL证书的颁发和存在敞开审查来弥补这些基于证书的威胁。
证书透明度为当前的SSL证书系统添加了三个新的功能组件:证书日志,证书监视器,证书审核员;这些功能组件代表提供补充监控和审计服务的分立软件模块。它们不是现有SSL证书系统的替代品或替代品。