Certificate Transparency证书透明

Certificate Transparency是什么

Certificate Transparency(后面简称CT)是google提倡的为了提高SSL/TLS上更高信赖度的新技术。现在已被RFC化(RFC6962),用于防止证书的误发行的技术而备受注目。

         CT是起着每当CA机构签发证书,将所有的证书的签发行为都记录到审计日志作用的。主要是网站运营者,域名管理者之类的可以通过这个审计日志服务器来确认自己的域名对应的证书有无被其他CA机构签发。以此来防止非正常签发的可信证书被他人滥用。

         虽然CT看起来仅仅起着提高证书的可信赖度,但并不意味着没有CT的其他的证书检测不可信。

 

09070106ctt2.jpgCT的基本原理

         CA一旦向审计日志服务器提供证书,审计日志服务器就返回Signed Certificate Timestamp(以下简称SCT,证书签署时间戳)。SCT是审计日志服务器在特定的时间内(Maximum Merge Delay(MMD)称为最大延迟周期)用于保证证书数据格式化的时间戳信息。Web服务器之类的tls服务器将从审计日记里取得SCT,然后与证书一起在浏览器之类的tls客户端里给出提示。这样,Tls客户端就会根据获取的证书和SCT来确认审计日志中是否有该证书的记录。

 

网站使用者受到的关于CT的影响

         Google Chrome已经有加入CT的检测功能,可以表示出SSL服务器证书是否符合CT标准(验证的话等于登录)。如果是未被证实在审计日志上有记录的证书的话,则会提示“服务器未提供任何CT信息”。

09070128r3fl.png

未增加CT

0907014491v8.png

增加了CT

CT的发展史

         Google不久前宣布了chrome浏览器对CT的兼容路线。

         有效期超过2015年1月的全部EV SSL证书(包含已发售的)的信息,有必要至少到审计日志去注册一下,用以加入白名单。

         Google公司在2015年1月1日后,已发行的不带SCT的EV SSL证书将做成一个白名单。

         2015年2月1日以后,chrome将会对那些没在白名单上注册且没注册CT的EV SSL证书不会有EV的固有表现(即不在绿色地址栏里显示组织名)。

         另外:3月30日后,满足以下条件的话,chrome将使EV SSL证书不再像之前的绿色地址栏中显示公司名,和普通的ssl服务器证书相同的显示。但其它的浏览器中能正常显示EV效果。

         条件1:2015年1月1日以后发行的

         条件2:没有注册CT

         条件3:google chrome41以后版本

 

       所以,为了EV SSL证书能在绿色地址栏里正常展现公司名,有必要注册下CT。赛门铁克也在2014年12月提供对应的是否注册CT的可选项(默认是带CT)。