fbpx
维基百科

证书透明度

一月 28, 2023

证书透明度(英語:Certificate Transparency,简称CT)也称证书透明证书透明化,它是一个实验性的IETF开源标准[1]开源框架,目的是监测和审计数字证书。通过证书日志、监控和审计系统,证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书,以及识别数字证书认证机构(CA)的作为。

至2021年,公開信任的TLS證書須強制實現證書透明度,但其他類型的證書則未有相應要求。[2][3]

背景

当前的数字证书管理系统中的缺陷正使欺诈证书导致的安全问题与隐私泄露风险变得日益明显。

2011年,荷兰的数字证书机构DigiNotar英语DigiNotar入侵者利用其基础设施成功创建了超过500个欺诈性数字证书后申请破产[4]

Ben Laurie英语Ben Laurie和Adam Langley构思了证书透明度,并将一个框架实现开发为开源项目。

优点

数字证书管理的问题之一是,欺诈性证书需要很长时间才能被浏览器提供商发现、报告和撤销。证书透明度有助于避免駭客在未經網域持有者的知情下为網域颁发证书。

证书透明度不需要侧信道通信来验证证书,它们由在线证书状态协议(OCSP)或Convergence英语Convergence (SSL)等技术完成。证书透明度也不需要信任第三方。

证书透明度日志

证书透明度依赖于可验证的证书透明度日志。日志会添加新的证书到不断增长的哈希树[1]:Section 3 为正确完成该行为,日志必须:

  • 验证每个提交的证书或预证书是否有有效的签名链,链条链向受信任的根证书颁发机构证书。
  • 拒绝发布无有效签名链的证书。
  • 存储新接受的可链向根证书的证书。
  • 根据请求提供此链的审计。

日志可以接受尚未完全生效或者已过期的证书。

证书透明度监视器

监视器是作为日志服务器的客户端,检查日志以确保行为正确。发生不一致则表示日志没有正确运行。日志的数据结构(Merkle树)上的签名防止日志否认不良行为。

证书透明度审计器

审计器也作为日志服务器的客户端运行。证书透明度审计器使用有关日志的部分信息验证日志及其他部分的信息。[1]:Section 5.4

证书颁发机构实现

2013年3月,Google推出其首个证书透明度日志。[5] 2013年9月,DigiCert成为首个实现证书透明度的数字证书认证机构[6]

Google Chrome在2015年开始要求新颁发的扩展验证证书(EV)提供“证书透明度”。[7][8]因为被发现有187个证书在未经域所有者知晓的情况下被颁发,赛门铁克(Symantec)被要求自2016年6月1日起新颁发的所有证书必须配备证书透明度。[9][10]

2017年4月,Google将原定的2017年10月Chrome将要求所有SSL证书支持证书透明度(CT)的日期推迟至2018年4月,以给行业更多准备时间[11]

参考资料

  1. ^ 1.0 1.1 1.2 Laurie. RFC 6962 - Certificate Transparency. The Internet Engineering Task Force. June 2013 [2013-11-20]. (原始内容于2017-09-25). 
  2. ^ Call, Ashley. . DigiCert. 2015-06-03 [2021-04-13]. (原始内容存档于2022-05-20) (美国英语). 
  3. ^ 引用错误:没有为名为:0的参考文献提供内容
  4. ^ Kim Zetter. DigiNotar Files for Bankruptcy in Wake of Devastating Hack. Wired. 2011-09-11 [2014-11-14]. (原始内容于2014-11-28). 
  5. ^ Known Logs - Certificate Transparency. [2016-12-06]. (原始内容于2016-12-16). 
  6. ^ DigiCert Announces Certificate Transparency Support. Dark Reading. [2013-11-12]. (原始内容于2013-10-10). 
  7. ^ Woodfield, Meggie. Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome. DigiCert Blog. DigiCert. December 5, 2014 [2016-12-06]. (原始内容于2016-10-13). 
  8. ^ Laurie, Ben. Updated Certificate Transparency + Extended Validation plan. cabfpub (邮件列表). February 4, 2014 [2016-12-06]. (原始内容于2014-03-30). 
  9. ^ . Symantec Knowledge Center. Symantec. June 9, 2016 [2016-12-06]. (原始内容存档于2016-10-05). 
  10. ^ Sleevi, Ryan. Sustaining Digital Certificate Security. Google Security Blog. Google. October 28, 2015 [2016-12-06]. (原始内容于2016-12-07). 
  11. ^ . 沃通. 2017-05-15 [2017-05-26]. (原始内容存档于2021-05-19). 

外部链接

  • RFC 6962 - 互联网工程任务组
  • Certificate-transparency.org(页面存档备份,存于互联网档案馆),有关证书透明度工作机制的常规信息
  • crt.sh(页面存档备份,存于互联网档案馆),一个证书透明度日志搜索引擎
  • Certificate Transparency 那些事(页面存档备份,存于互联网档案馆

一月 28, 2023
证书透明度, 此條目需要更新, 2021年8月21日, 請更新本文以反映近況和新增内容, 完成修改時, 請移除本模板, 本條目翻譯自其他語言維基百科, 需要精通本領域的編者協助校對翻譯, 如果您精通本領域, 又能清楚地將來源語言翻譯為中文, 歡迎您協助參與校對與修訂, 原文参见维基数据, 英語, certificate, transparency, 简称ct, 也称证书透明, 证书透明化, 它是一个实验性的ietf开源标准, 和开源框架, 目的是监测和审计数字证书, 通过证书日志, 监控和审计系统, 使网站用户和域. 此條目需要更新 2021年8月21日 請更新本文以反映近況和新增内容 完成修改時 請移除本模板 本條目翻譯自其他語言維基百科 需要精通本領域的編者協助校對翻譯 如果您精通本領域 又能清楚地將來源語言翻譯為中文 歡迎您協助參與校對與修訂 原文参见维基数据 证书透明度 英語 Certificate Transparency 简称CT 也称证书透明 证书透明化 它是一个实验性的IETF开源标准 1 和开源框架 目的是监测和审计数字证书 通过证书日志 监控和审计系统 证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书 以及识别数字证书认证机构 CA 的作为 至2021年 公開信任的TLS證書須強制實現證書透明度 但其他類型的證書則未有相應要求 2 3 目录 1 背景 1 1 优点 1 2 证书透明度日志 1 3 证书透明度监视器 1 4 证书透明度审计器 2 证书颁发机构实现 3 参考资料 4 外部链接背景 编辑当前的数字证书管理系统中的缺陷正使欺诈证书导致的安全问题与隐私泄露风险变得日益明显 2011年 荷兰的数字证书机构DigiNotar 英语 DigiNotar 在入侵者利用其基础设施成功创建了超过500个欺诈性数字证书后申请破产 4 Ben Laurie 英语 Ben Laurie 和Adam Langley构思了证书透明度 并将一个框架实现开发为开源项目 优点 编辑 数字证书管理的问题之一是 欺诈性证书需要很长时间才能被浏览器提供商发现 报告和撤销 证书透明度有助于避免駭客在未經網域持有者的知情下为網域颁发证书 证书透明度不需要侧信道通信来验证证书 它们由在线证书状态协议 OCSP 或Convergence 英语 Convergence SSL 等技术完成 证书透明度也不需要信任第三方 证书透明度日志 编辑 证书透明度依赖于可验证的证书透明度日志 日志会添加新的证书到不断增长的哈希树 1 Section 3 为正确完成该行为 日志必须 验证每个提交的证书或预证书是否有有效的签名链 链条链向受信任的根证书颁发机构证书 拒绝发布无有效签名链的证书 存储新接受的可链向根证书的证书 根据请求提供此链的审计 日志可以接受尚未完全生效或者已过期的证书 证书透明度监视器 编辑 监视器是作为日志服务器的客户端 检查日志以确保行为正确 发生不一致则表示日志没有正确运行 日志的数据结构 Merkle树 上的签名防止日志否认不良行为 证书透明度审计器 编辑 审计器也作为日志服务器的客户端运行 证书透明度审计器使用有关日志的部分信息验证日志及其他部分的信息 1 Section 5 4证书颁发机构实现 编辑2013年3月 Google推出其首个证书透明度日志 5 2013年9月 DigiCert成为首个实现证书透明度的数字证书认证机构 6 Google Chrome在2015年开始要求新颁发的扩展验证证书 EV 提供 证书透明度 7 8 因为被发现有187个证书在未经域所有者知晓的情况下被颁发 赛门铁克 Symantec 被要求自2016年6月1日起新颁发的所有证书必须配备证书透明度 9 10 2017年4月 Google将原定的2017年10月Chrome将要求所有SSL证书支持证书透明度 CT 的日期推迟至2018年4月 以给行业更多准备时间 11 参考资料 编辑 1 0 1 1 1 2 Laurie RFC 6962 Certificate Transparency The Internet Engineering Task Force June 2013 2013 11 20 原始内容存档于2017 09 25 Call Ashley Certificate Transparency FAQs DigiCert Blog DigiCert 2015 06 03 2021 04 13 原始内容存档于2022 05 20 美国英语 引用错误 没有为名为 0的参考文献提供内容 Kim Zetter DigiNotar Files for Bankruptcy in Wake of Devastating Hack Wired 2011 09 11 2014 11 14 原始内容存档于2014 11 28 Known Logs Certificate Transparency 2016 12 06 原始内容存档于2016 12 16 DigiCert Announces Certificate Transparency Support Dark Reading 2013 11 12 原始内容存档于2013 10 10 Woodfield Meggie Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome DigiCert Blog DigiCert December 5 2014 2016 12 06 原始内容存档于2016 10 13 Laurie Ben Updated Certificate Transparency Extended Validation plan cabfpub 邮件列表 February 4 2014 2016 12 06 原始内容存档于2014 03 30 Symantec Certificate Transparency CT for certificates issued before June 1 2016 Symantec Knowledge Center Symantec June 9 2016 2016 12 06 原始内容存档于2016 10 05 Sleevi Ryan Sustaining Digital Certificate Security Google Security Blog Google October 28 2015 2016 12 06 原始内容存档于2016 12 07 Chrome将 强制证书透明度要求 推迟至2018年 沃通 2017 05 15 2017 05 26 原始内容存档于2021 05 19 外部链接 编辑RFC 6962 互联网工程任务组 Certificate transparency org 页面存档备份 存于互联网档案馆 有关证书透明度工作机制的常规信息 crt sh 页面存档备份 存于互联网档案馆 一个证书透明度日志搜索引擎 Certificate Transparency 那些事 页面存档备份 存于互联网档案馆 取自 https zh wikipedia org w index php title 证书透明度 amp oldid 72846490, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。