首页>安全资讯>Chrome将“强制证书透明度要求”推迟至2018年

Chrome将“强制证书透明度要求”推迟至2018年

Google的证书透明度(CT)项目有望成为SSL生态系统最重要的改进之一。俗话说得好,好的事情值得等待。虽然证书透明度已经开始运行,但对于大多数CA来说它是可选的,这意味着CT无法完全发挥作用,因为并不是所有正在颁发的证书都被它知晓。

Google的Chrome浏览器将通过强制要求所有希望被信任的SSL证书实现CT记录来解决这个问题。但是强制性证书透明度合规的日期已经推迟了6个月 - 从今年10月到2018年4月。谷歌在4月底几个星期前宣布了这个消息。这条消息是在Google主持了“CT Days”会议后发布的。这个历时两天的会议集结了CA、CDN、日志操作员以及所有涉及或受证书透明度影响的代表。而这个会议的结论就是,整个行业都需要更多的时间来确保一切都完全准备好,以进行生态系统范围的推广。

Chrome的工程师之一Ryan Sleevi指出,在接下来的六个月里,他们希望看到“除了Chrome之外,还有助于保护其他浏览器用户的部署”。去年,Firefox宣布将支持CT,但尚未提交执行日期。

Chrome还在努力实现一个新的HTTP头,expect-ct,这将允许服务器运营商测试他们的配置和证书在最后期限之前是否都设置正确。

不可否认的是,证书透明度是SSL生态系统的一个重大变化 - 这同时面临技术挑战,对于企业部门来说,他们认为所有证书都可以公开发布。

例如,今年早些时候,东海岸的亚马逊S3云服务中断导致了Venafi的日志失败 - 展示了可靠运行日志的要求。同时,IETF仍在完成一些标准工作。

此外,CT还面临一些“隐私问题”,尤其是对于那些主机名公开构成安全隐私风险的企业部门。“名称修改”仍然存在争议 - 这将允许对CT日志中的主机名进行部分审查。谷歌对大多数这些担忧仍然持怀疑态度,嘲讽这些“问题”是过时的威胁模式和对改变的莫名恐慌,而不是合法的风险。

但毫无疑问,证书透明度将为生态系统带来巨大的好处,即便它只是被部分采纳,CT已经抓取到了一定数量的威胁。

相关资讯:

谷歌Chrome要求2017年所有SSL证书支持CT证书透明

10月25日谷歌在公开邮件组发布公告,在上周的CA/浏览器论坛第39次会议上,Chrome小组宣布计划,2017年10月后签发的所有公开信任的网站SSL证书将遵守...

谷歌发起证书透明度,提高HTTPS网站安全性

谷歌发起证书透明度项目,让人们可以快速地识别出被错误或者恶意颁发的数字证书,以此来缓解可能会出现的安全问题。中国品牌CA沃通(WoSign)紧跟国际先进技术,第一时间升级PKI/CA系统支持Certificate Transparency(证书透明度),提高HTTPS网站安全性。

WoSign (沃通)所签发的所有SSL证书都实现CT证书透明

从2016年7月4日起,WoSign签发的所有SSL证书都实现CT证书透明,所有SSL证书都提交到谷歌CT Log服务器和其他公共服务器(包括WoSign CT Log服务器),所有各相关利益方都可以通过这些公共服务查询到WoSign签发的每一张SSL证书,而且每张证书中都预置能证明已经提交到合格的CT Log服务器的SCT数据。

谷歌HTTPS透明度报告:逾75%服务器请求使用HTTPS加密

据科技博客TechCrunch报道,谷歌周二在其透明度报告中增加了一个新板块——超文本传输安全协议(HTTPS)的实施情况,专注于介绍谷歌自主网站和各大热门网站的HTTPS加密部署情况。