证书透明度是什么

维基 问答 2022-05-06 10:12:30 阅读(...)

证书透明度也称证书透明、证书透明化,它是一个实验性的IETF开源标准和开源框架,目的是监测和审计数字证书。通过证书日志、监控和审计系统,证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书,以及识别数字证书认证机构的作为。

证书透明度(Certificate Transparency,简称 CT)也称证书透明、证书透明化,它是一个实验性的 IETF 开源标准和开源框架,目的是监测和审计数字证书。通过证书日志、监控和审计系统,证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书,以及识别数字证书认证机构(CA)的作为。

证书透明度 Certificate Transparency

至 2021 年,公开信任的 TLS 证书须强制实现证书透明度,但其他类型的证书则未有相应要求。

背景

当前的数字证书管理系统中的缺陷正使欺诈证书导致的安全问题与隐私泄露风险变得日益明显。

2011 年,荷兰的数字证书机构 DigiNotar 在入侵者利用其基础设施成功创建了超过 500 个欺诈性数字证书后申请破产。

Ben Laurie 和 Adam Langley 构思了证书透明度,并将一个框架实现开发为开源项目。

优点

数字证书管理的问题之一是,欺诈性证书需要很长时间才能被浏览器提供商发现、报告和撤销。证书透明度有助于避免黑客在未经网域持有者的知情下为网域颁发证书。

证书透明度不需要侧信道通信来验证证书,它们由在线证书状态协议(OCSP)或 Convergence 等技术完成。证书透明度也不需要信任第三方。

证书透明度日志

证书透明度依赖于可验证的证书透明度日志。日志会添加新的证书到不断增长的哈希树。:Section 3 为正确完成该行为,日志必须:

  • 验证每个提交的证书或预证书是否有有效的签名链,链条链向受信任的根证书颁发机构证书。
  • 拒绝发布无有效签名链的证书。
  • 存储新接受的可链向根证书的证书。
  • 根据请求提供此链的审计。

日志可以接受尚未完全生效或者已过期的证书。

证书透明度监视器

监视器是作为日志服务器的客户端,检查日志以确保行为正确。发生不一致则表示日志没有正确运行。日志的数据结构(Merkle 树)上的签名防止日志否认不良行为。

证书透明度审计器

审计器也作为日志服务器的客户端运行。证书透明度审计器使用有关日志的部分信息验证日志及其他部分的信息。:Section 5.4

证书颁发机构实现

2013 年 3 月,Google 推出其首个证书透明度日志。 2013 年 9 月,DigiCert 成为首个实现证书透明度的数字证书认证机构。

Google Chrome 在 2015 年开始要求新颁发的扩展验证证书(EV)提供“证书透明度”。因为被发现有 187 个证书在未经域所有者知晓的情况下被颁发,赛门铁克(Symantec)被要求自 2016 年 6 月 1 日起新颁发的所有证书必须配备证书透明度。

2017 年 4 月,Google 将原定的 2017 年 10 月 Chrome 将要求所有 SSL 证书支持证书透明度(CT)的日期推迟至 2018 年 4 月,以给行业更多准备时间

收藏 0个人收藏
走进科技生活方式

评论交流

泪雪默认头像 请「登录」后参与评论
  1. 加载中..

相关推荐

  • 信任链 Trust chain

    信任链是什么

    信任链(数字证书链)是一连串的数字证书,由根证书为起点,透过层层信任,使终端实体证书的持有者可以获得转授的信任,以证明身份。
  • 360杀毒是什么

    360杀毒是什么

    360杀毒是一款免费的云安全杀毒软件。它创新性地整合了五大领先查杀引擎,包括国际知名的BitDefender病毒查杀引擎、Avira(小红伞)病毒查杀引擎、360云查杀引擎、360主动防御引擎以及360第二代QVM人工智能引擎。
  • blockchian new

    区块链 3.0 将带来哪些行业的变化

    区块链3.0能够对于每一个互联网中代表价值的信息和字节进行产权确认、计量和存储,从而实现资产在区块链上可被追踪、控制和交易。从而对于智能合约、共享经济、审计、文件存储、产权保护、物联网等领域带来了较大的变化。
  • digital certificate 数字证书

    数字证书有什么作用

    数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性,数字证书是CA机构发行的一种电子文档,是一串能够表明网络用户身份信息的数字,提供了一种在计算机网络上验证网络用户身份的方式。
  • 数字证书

    数字证书是什么

    数字证书是用于识别个人,服务器,公司或某个其他实体的电子文档,使用公钥加密来解决模仿问题。证书颁发机构是验证身份和颁发证书的实体,客户端和服务器使用CA颁发的证书来确定可信任的其他证书。
  • HTTP SSL HTTPS

    网站使用 SSL 数字证书有什么优势

    网站安装使用SSL数字证书可以有效的防止流量劫持、杜绝钓鱼网站和杜绝网页中被而已插入小广告,更可以保护用户隐私安全,有利于网站搜索排名的提升,提高站点的可信度及品牌形象。