CA如何提供CT日志证明?
自2015年1月1日起,所有主要证书颁发机构(CA)都应具有为EV SSL证书提供证书透明度(CT)日志记录的功能。自2018年5月1日起,所有主要证书颁发机构(CA)都应具有为DV和OV SSL/TLS证书提供证书透明度(CT)日志记录的功能。
然而,用于提供证明的机制可能因CA而异。DigiCert目前支持所有三种提供SCT的方法。默认情况下,DigiCert将嵌入来自两个谷歌日志和DigiCert日志的SCT。嵌入SCT是用以提供证明的最简单方法,因为它不需要服务器操作员执行任何操作。有兴趣使用TLS扩展或OCSP装订的客户应与我们联系以获取有关可能需要在其服务器上进行更改的更多信息。
什么是SCT提供方法?
CA可以将证书记录在包含其根的任何受信任的日志中。日志处理加入请求,并使用已签名的证书时间戳(SCT)进行响应。SCT发挥着类似收据的作用——显示证书将在一定的时间段内(被称为最大合并延迟或MMD)被添加到日志中。这可确保在既定的时间范围之内将证书添加到日志中,但不会减缓证书的颁发速度或阻止证书的使用。允许的最长MMD是24小时,这意味着所有新颁发并被记录的证书将在SCT生成后24小时内在日志中显示。
在证书的整个生命周期之中SCT都包含于证书,并且是支持TLS握手过程的一部分。此过程评估SCT,以确保每个SCT都来源于已审批的CT日志。
CT支持三种带证书的SCT提供方法
证书嵌入
CA可以通过将SCT证明直接嵌入到证书扩展的方法来将SCT附加到证书。在颁发之前,CA向日志提交预先证书,然后日志返回SCT。CA在证书被适当的中介签名之前,将返回的SCT作为证书扩展包含在已颁发的证书中。
此方法不需要服务器操作员对服务器进行任何修改或操作。但是,这种方法要求CA在颁发证书之前获得SCT。
TLS扩展
服务器操作员可以使用特殊的TLS扩展在实际证书之外提供SCT。CA颁发证书后,服务器操作员将证书提交给日志。日志将SCT发送给服务器操作员,服务器在握手期间使用TLS扩展来提供SCT。
此方法会把证书缩小,并且不需要CA执行任何操作。
OCSP装订
服务器操作员还可以使用在线证书状态协议(OCSP)装订来提供SCT。在使用OCSP装订的情况下,CA将证书颁发给日志服务器和服务器操作员。CA将SCT返回给服务器操作员,作为服务器请求OCSP响应的一部分。此响应将SCT作为扩展包含在内,之后在TLS握手期间由服务器提供给客户端。
此方法要求CA在颁发期间向日志提交证书,但允许CA在收到SCT之前交付证书。此方法还要求服务器操作员在服务器上启用OCSP装订。
