什么是证书透明度信息Certificate Transparency?
点击数:199082016-11-04 16:28:35 来源: 中国数字证书CHINASSL
Certificate Transparency 证书透明度信息是什么?
HTTPS 网站的身份认证是通过证书信任链完成的,浏览器从站点证书开始递归校验父证书,直至出现信任的根证书(根证书列表一般内置于操作系统,Firefox 则自己维护)。然而,受信任的 CA(证书颁发机构)有好几百个,他们成为整个网站身份认证过程中一个较大的攻击面。实际上,目前由于 CA 失误导致错误签发证书;以及个别 CA 出于某些目的(如监控加密流量)故意向第三方随意签发证书这两种情况时有发生。
无论是 CA 无意或有意签发出来的「非法证书」,都能通过目前的证书链校验机制的验证。这些 CA 签发的「非法证书」相比自签名的「无效证书」,更难被发现,即使被发现依靠现有机制也很难快速消除影响。
另外,域名所有者的管理不善也可能导致域名配置被第三方控制,从而第三方能够向 CA 申请你网站的证书(特别是域名型证书DV SSL)。这种情况,发现和处理同样很麻烦。
而 Certificate Transparency (证书透明,简称CT)就是为了解决这些问题诞生的,它可以直译为证书透明度,由 Google 主导,并由 IETF 标准化为 RFC 6962。Certificate Transparency 的目标是提供一个开放的审计和监控系统,可以让任何域名所有者或者 CA 确定证书是否被错误签发或者被恶意使用,从而提高 HTTPS 网站的安全性。
Certificate Transparency 整套系统由三部分组成:
1)Certificate Logs(证书日志);
2)Certificate Monitors(证书监控);
3)Certificate Auditors(证书审计)。
完整的工作原理可以看官方文档:How Certificate Transparency Works(https://www.certificate-transparency.org/how-ct-works)
简单说来,证书所有者或者 CA 都可以主动向 Certificate Logs 服务器提交证书,所有证书记录都会接受审计和监控。支持 CT 的浏览器(目前只有Chrome)会根据 Certificate Logs 中证书状态,作出不同的反应。CT 不是要替换现有的 CA 设施,而是做为补充,使之更透明、更实时。Certificate Logs 服务器由 Google 或 CA 部署,这个页面(https://www.certificate-transparency.org/known-logs)列举了目前已知的服务器。合法的证书提交到 CT Logs 服务器之后,服务器会返回 signed certificate timestamp(签名证书时间戳,简称SCT),要启用 CT 就必须用到 SCT 信息。
Certificate Transparency 与 Chrome浏览器
如何不启用 CT 会有什么后果呢?实际上,对大部分网站影响都不大。首先 CT 策略目前只有 Chrome浏览器 支持;其次 Chrome 也知道现在支持 CT 的网站并不多,所以对于没有提供 SCT 信息的 HTTPS 网站也没有太大的影响。
对于使用 企业增强型EV SSL证书的网站,如果没有按要求提供 SCT 信息, Chrome 不会显示小绿条。一般 EV 证书提供商都会把 SCT 信息嵌入到证书之中,大家如果有正在EV SSL证书可以检查一下。
支持证书透明度信息的CA证书机构
目前Symantec / GeoTrust / Thawte / RapidSSL等CA证书机构签发的所有类型SSL证书,均支持证书透明度信息Certificate Transparency,用户可根据HTTPS具体部署需求按需选择。
Chrome 要求从2017年10月起遵守证书透明度
Chrome 宣布从2017年10月或之后签发的证书需要遵守证书透明度信息(Certificate Transparency) 政策才能被浏览器信任。
certificate transparency信息的详细内容请参考:RFC6962
| 上一页1下一页 |
原文地址:https://www.chinassl.net/faq/n673.html
版权所有@转载请注明出处:CHINASSL[https://www.chinassl.net]
QQ:405105450