Certificate Transparency SSL證書透明Certificate Transparency是什么Certificate Transparency（后面簡稱CT ）是google

Certificate Transparency SSL證書透明

Certificate Transparency是什么

Certificate Transparency（后面簡稱CT ）是google 提倡的為了提高SSL/TLS上更高信賴度的新技術(shù)?，F(xiàn)在已被RFC 化（RFC6962），用于防止證書的誤發(fā)行的技術(shù)而備受注目。

CT 是起著每當(dāng)CA 機(jī)構(gòu)簽發(fā)證書，將所有的證書的簽發(fā)行為都記錄到審計(jì)日志作用的。主要是網(wǎng)站運(yùn)營者，域名管理者之類的可以通過這個(gè)審計(jì)日志服務(wù)器來確認(rèn)自己的域名對(duì)應(yīng)的證書有無被其他CA 機(jī)構(gòu)簽發(fā)。以此來防止非正常簽發(fā)的可信證書被他人濫用。 雖然CT 看起來僅僅起著提高證書的可信賴度，但并不意味著沒有CT 的其他的證書檢測(cè)不可信。

CT 的基本原理

CA 一旦向?qū)徲?jì)日志服務(wù)器提供證書，審計(jì)日志服務(wù)器就返回Signed Certificate

Timestamp （以下簡稱SCT ，證書簽署時(shí)間戳）。SCT

是審計(jì)日志服務(wù)器在特定的時(shí)間內(nèi)

（Maximum Merge Delay（MMD ）稱為最大延遲周期）用于保證證書數(shù)據(jù)格式化的時(shí)間戳信息。Web 服務(wù)器之類的tls 服務(wù)器將從審計(jì)日記里取得SCT ，然后與證書一起在瀏覽器之類的tls 客戶端里給出提示。這樣，Tls 客戶端就會(huì)根據(jù)獲取的證書和SCT 來確認(rèn)審計(jì)日志中是否有該證書的記錄。

網(wǎng)站使用者受到的關(guān)于CT 的影響

Google Chrome已經(jīng)有加入CT 的檢測(cè)功能，可以表示出SSL 服務(wù)器證書是否符合CT 標(biāo)準(zhǔn)（驗(yàn)證的話等于登錄）。如果是未被證實(shí)在審計(jì)日志上有記錄的證書的話，則會(huì)提示“服務(wù)器未提供任何CT 信息”。

未增加

CT

增加了CT

CT 的發(fā)展史

Google 不久前宣布了chrome 瀏覽器對(duì)CT 的兼容路線。

有效期超過2015年1月的全部EV SSL證書（包含已發(fā)售的）的信息，

有必要至少到審

計(jì)日志去注冊(cè)一下，用以加入白名單。

Google 公司在2015年1月1日后，已發(fā)行的不帶SCT 的EV SSL證書將做成一個(gè)白名單。

2015年2月1日以后，chrome 將會(huì)對(duì)那些沒在白名單上注冊(cè)且沒注冊(cè)CT 的EV SSL證書不會(huì)有EV 的固有表現(xiàn)（即不在綠色地址欄里顯示組織名）。

另外：3月30日后，滿足以下條件的話，chrome 將使EV SSL證書不再像之前的綠色地址欄中顯示公司名，和普通的ssl 服務(wù)器證書相同的顯示。但其它的瀏覽器中能正常顯示EV 效果。

條件1：2015年1月1日以后發(fā)行的

條件2：沒有注冊(cè)CT

條件3：google chrome41以后版本

所以，為了EV SSL證書能在綠色地址欄里正常展現(xiàn)公司名，有必要注冊(cè)下CT 。賽門鐵克也在2014年12月提供對(duì)應(yīng)的是否注冊(cè)CT 的可選項(xiàng)（默認(rèn)是帶CT ）。

出品人：亞洲誠信