日志、浏览器和CA对证书透明度(CT)的支持情况如何?
日志
自2018年2月起,DigiCert开始默认向证书透明度(CT)日志提交所有新颁发的公共可信TLS/SSL证书。谷歌对整个行业的要求于2018年4月生效,我们在此之前已经做出这一改变,旨在改进客户的安全性并鼓励采用。在2018年之前,仅需要对EV证书进行记录。
DigiCert运行自己的CT日志,谷歌也在使用此日志。日志需要具有高度的可用性,并通过90天的测试期以对此进行证明。无法满足这些高要求的日志不受信任。因此,DigiCert在建立日志时采取了额外的预防措施,并确保其足够可靠,能够处理所有已颁发证书的数量。
浏览器
Chrome ——Chrome自2014年初开始支持CT。目前他们正在将这种支持扩展为对所有颁发证书的CA的要求。
对于一年期证书,谷歌需要来自两个独立日志的CT证明。对于在2020年即一年期证书成为标准之前所颁发的两年期证书,要求该证书必须包括来自至少三个独立日志的CT证明。为了让CA顺利度过过渡阶段,谷歌暂时放宽了其独立性要求,允许CA包含来自谷歌日志的两个证明和来自DigiCert日志的一个证明。预期会有更多的CA和相关方将在过渡阶段创建日志,以确保有足够数量的操作日志。
Firefox——目前Firefox对于用户所访问的网站不检查也不要求CT日志的使用。
Safari——Apple要求不同数量的SCT,以便Safari和其他服务器信任服务器证书。
证书颁发机构:
根据互联网工程任务组(IETF)的RFC 9162,预计公共CA将把其所有新颁发的证书添加到一个或多个日志;然而,证书持有者也可以添加自己的证书链,第三方也是如此。
至2015年1月,所有主要CA都开始将已颁发的EV证书纳入CT日志服务器。任何颁发EV证书的CA都必须使用两个可用的谷歌日志和DigiCert日志,以满足谷歌的要求。
DigiCert如何满足证书透明度合规要求?
CT通过创建可公开审核的证书颁发记录来强化TLS/SSL证书系统。自2015年以来,谷歌要求CA将EV证书记录到公共CT日志。2018年4月,谷歌开始要求CA也将OV和DV证书记录到公共CT日志。
DigiCert于2018年2月1日起开始向公共CT日志发布所有新颁发的公用TLS/SSL证书。此变化不影响2018年2月1日之前颁发的任何OV或DV证书。
具备证书透明度策略的浏览器:
自2018年4月起,谷歌要求CA记录所有TLS/SSL证书(EV、OV和DV)。
自2018年10月15日起,Apple要求CA记录所有TLS/SSL证书(EV、OV和DV)。
证书透明度的背景和历史是什么?
2011年,一家名为DigiNotar的荷兰证书颁发机构(CA)遭到黑客攻击,攻击者得以创建了500多个从DigiNota的受信任根颁发的欺诈证书。攻击者利用这些证书冒充包括谷歌和Facebook在内的多个网站,对毫无戒心的用户进行“中间人”攻击。
这一事件,以及其他备受瞩目的非DigiCert CA错误或恶意颁发证书的事件,促使谷歌工程师开展头脑风暴,寻找新的解决方案。在其进行头脑风暴的过程中,两位工程师Ben Laurie和Adam Langley提出了证书透明度(CT)的想法,并开始将该框架作为开源项目进行开发。2012年,Laurie和Langley与IETF共同起草了一份概述证书透明度的工作草案,并于2013年发布RFC。
2013年,谷歌推出了两个公共日志,并宣布计划,最终将对谷歌Chrome中的所有EV SSL证书要求CT。
从2012年开始,DigiCert对CT集成进行试验,并对拟进行的CT实施提供反馈。2013年9月,DigiCert成为首家在其系统中实施CT的CA,同年10月,DigeCert成为首家为客户提供在SSL证书中嵌入CT证明选项的CA。
2014年9月,DigiCert向谷歌提交了私有日志,以将其纳入谷歌Chrome。DigiCert日志于2014年12月31日被接受。DigiCert是首家创建CT日志的CA。
