首页>安全资讯>支持证书透明度,防止合法SSL证书被恶意使用

支持证书透明度,防止合法SSL证书被恶意使用

使用SSL证书实现HTTPS传输加密及服务器身份认证,已经成为防范数据泄露、流量劫持、钓鱼欺诈等安全问题的重要手段。近年来,由于黑客攻击、失误操作等问题,使得合法SSL证书出现恶意或错误使用的情况,谷歌主导的证书透明度(Certificate Transparency)项目,就是为了加强SSL证书的公开透明,强化SSL证书的可信度。本文将重点介绍SSL证书的信任机制,以及证书透明度(Certificate Transparency)如何防止SSL证书被恶意或错误使用。

SSL证书的信任机制

HTTPS 网站的身份认证是通过校验证书信任链来完成的,浏览器从网站SSL证书开始,逐层校验上一级父证书,直至校验到受信任的顶级根证书,从而判断网站SSL证书的颁发机构及其认证信息是否可信。顶级根证书是由受信任的证书颁发机构持有,预置在浏览器和操作系统的“受信任的根证书颁发机构”列表中,作为SSL证书信任链校验的重要依据。

受信任的根证书颁发机构

证书颁发机构(CA)负责认证签发SSL证书,管理SSL证书整个生命周期,为避免黑客攻击、失误签发以及CA违规操作行为,国际标准组织从安全审计、操作规程等多方面不断完善对CA机构的严格监管。证书透明度(Certificate Transparency)就是谷歌主导的用于记录、审计和监控证书颁发机构所颁发的数字证书的项目。

什么是证书透明度(Certificate Transparency)

Certificate Transparency,直译为“证书透明度”,简称为“CT”,由谷歌主导并由 IETF 标准化为RFC 6962。Certificate Transparency是一个开放的审计和监控系统,要求证书颁发机构公开宣布其颁发的每一个SSL证书,将其记录到证书日志中,可以让任何域名所有者或者证书颁发机构,确定证书是否被错误签发或者恶意使用,从而保障证书签发流程安全,强化SSL证书的可信度及HTTPS网站的安全性。

证书透明度(Certificate Transparency) 的工作原理

Certificate Transparency 整套系统由三部分组成:

1)Certificate Logs证书日志;

2)Certificate Monitors证书监视;

3)Certificate Auditors证书审计。

CT系统是CA设施的一种补充,使之更透明、更实时。CA创建预签证书(pre-certificate)提交到谷歌认证的CT Log Server(日志服务器),日志服务器返回一个"已签证书时间戳"(Signed Certificate Timestamp),称为SCT信息。SCT信息被嵌入到正式签发的证书中,或通过TLS模式提供部署到Web服务器中。简单地说:就是为合法签发的证书做了一个白名单,谷歌浏览器在验证证书的同时,也会去查看这个证书是不是在白名单里面,如果不在的话,则不会显示绿色地址栏及证书透明度信息。

Certificate Transparency的三种启用方式

1) 证书内嵌

CA 先预签证书,并将证书提交到 CT Log 服务器得到 SCT 信息,然后 CA 将SCT数据嵌入到正式签发的证书中,这样就得到了一个含有 SCT 扩展的证书。

证书内嵌

2)TLS扩展

证书所有者也可以自己提交证书给 CT Log 服务器,得到 SCT 并存起来。然后通过配置 Web Server,使其能在TLS 握手阶段的Server Hello 响应中启用"已签证书时间戳"(Signed Certificate Timestamp)扩展,传递 SCT 信息。

TLS扩展

3)OCSP扩展

还有一种方法,CA 按照普通流程完成证书签发后,再将证书提交到 CT Log 服务器得到 SCT,然后改造 OCSP(Online Certificate Status Protocol,在线证书状态协议)服务,将 SCT 信息包含到 OCSP 响应中。服务端启用 OCSP Stapling(OCSP 封套)后,就可以在证书链中包含证书的 OCSP 查询结果,其中就包含 SCT 信息。

签名证书时间戳查看器

沃通CA对证书透明度(CT)的支持情况

早在2015年8月,沃通CA(www.wosign.com)就已经成功升级PKI/CA系统支持证书透明度(Certificate Transparency),成为国内最早支持CT系统的CA机构。沃通CA颁发的所有EV SSL证书都支持CT技术,可实时记录到CT 日志中,可在Chrome浏览器正常展示绿色地址栏、单位名称及证书透明度信息,任何证书所有者都可以通过证书透明度查询工具,确定证书是否被错误签发或者恶意使用,体现了沃通CA公开透明的态度及严格遵循国际标准操作规程的决心。

沃通CA目前签发的EV SSL证书都已包含SCT信息,2015年8月20日之前签发的EV SSL证书,也可以通过TLS扩展或免费重新颁发含有SCT信息的EV SSL证书来实现CT技术。证书透明度的实施有助于增强用户的信心,确保网站能够及时发现恶意或错误签发的SSL证书,防止身份仿冒及中间人攻击,提升网站可信度及站点安全,希望尚未支持CT的SSL证书用户,及时升级支持CT技术。

沃通SSL证书透明度

本文首发沃通CA,转载请保留原文地址:http://www.wosign.com/News/certificate-transparency.htm