Qual è lo stato attuale di supporto della Certificate Transparency (CT) per log, browser e CA?
Log
A partire da febbraio 2018, DigiCert ha iniziato a inviare di default tutti i certificati TLS/SSL di nuova emissione e pubblicamente attendibili ai log di Certificate Transparency (CT). Abbiamo apportato questa modifica prima che il requisito di settore di Google entrasse in vigore ad aprile 2018 perché volevamo migliorare la sicurezza dei nostri clienti e incoraggiarne l'adozione. Prima del 2018, il logging era richiesto solo per i certificati EV.
DigiCert gestisce un proprio log CT che viene utilizzato anche da Google. L'inclusione di un log richiede un alto grado di disponibilità, dimostrato da un periodo di prova di 90 giorni. Se un log non può soddisfare requisiti di questo livello, non è attendibile. Per questo motivo, DigiCert ha preso ulteriori precauzioni nel creare il suo log, verificando che sia abbastanza robusto da gestire il volume di tutti i certificati emessi.
Browser
Chrome - Chrome ha iniziato a supportare la CT dall'inizio del 2014. Ora sta estendendo questo supporto come requisito per tutte le CA che emettono certificati.
Per fornire un certificato di un anno, Google richiedeva le prove della CT da due log indipendenti. Per i certificati biennali emessi prima che i certificati annuali diventassero lo standard nel 2020, il certificato doveva includere le prove della CT di almeno tre log indipendenti. Per facilitare la transizione per le CA, Google ha temporaneamente allentato i requisiti di indipendenza, permettendo alle CA di includere due prove dai log di Google e una dal log di DigiCert. Si prevedeva che un numero maggiore di CA e di parti interessate avrebbero creato dei log durante il periodo intermedio, garantendo un numero sufficiente di log operativi.
Firefox- Firefox attualmente non controlla né richiede l'uso di log CT per i siti visitati dagli utenti.
Safari- Apple richiede un numero variabile di SCT affinché Safari e altri server considerino attendibili i certificati dei server.
Autorità di certificazione:
Secondo RFC 9162 della Internet Engineering Task Force (IETF), si prevede che le CA pubbliche forniscano tutti i loro certificati di nuova emissione con uno o più log; tuttavia, anche i titolari di certificati possono contribuire con le proprie catene di certificati, così come le terze parti.
Da gennaio 2015 tutte le principali CA hanno iniziato a includere i certificati EV emessi nei server di log CT. Per ottenere la conformità ai requisiti di Google, tutte le CA che emettono certificati EV sono tenute a utilizzare i due log disponibili di Google e il log di DigiCert.
In che modo DigiCert soddisfa la conformità alla trasparenza dei certificati?
La CT rafforza il sistema dei certificati TLS/SSL creando record pubblicamente verificabili dell'emissione dei certificati. Dal 2015, Google richiede alle CA di registrare i certificati EV nei log CT pubblici. Nell'aprile 2018, Google ha iniziato a richiedere alle CA di registrare anche i certificati OV e DV nei log CT pubblici.
DigiCert ha iniziato a pubblicare tutti i certificati TLS/SSL pubblici di nuova emissione nei log CT pubblici dal 1° febbraio 2018. Questa modifica non riguarda i certificati OV o DV emessi prima del 1° febbraio 2018.
Browser con policy di trasparenza dei certificati:
A partire da aprile 2018, Google richiede alle CA il logging di tutti i certificati TLS/SSL (EV, OV e DV).
A partire dal 15 ottobre 2018, Apple richiede alle CA il logging di tutti i certificati TLS/SSL (EV, OV e DV).
Qual è il contesto e la storia della Certificate Transparency?
Nel 2011 fu hackerata DigiNotar, un'autorità di certificazione (CA) olandese, e ciò consentì agli aggressori di creare oltre 500 certificati fraudolenti emessi dalla sua root attendibile. Gli aggressori avevano quindi usato questi certificati per impersonare numerosi siti, inclusi quelli di Google e Facebook, conducendo attacchi Man-in-the-Middle a danno di utenti ignari.
Questo, insieme ad altri gravi episodi di certificati emessi per errore o deliberatamente da CA non-DigiCert, ha spinto gli specialisti di Google a studiare nuove soluzioni. Durante i loro confronti, due ingegneri di nome Ben Laurie e Adam Langley hanno avuto l'idea della Certificate Transparency (CT) e hanno iniziato a sviluppare il framework come progetto open source. Nel 2012, Laurie e Langley hanno creato una bozza di lavoro che delineava la Certificate Transparency in collaborazione con l'IETF e nel 2013 hanno pubblicato un RFC.
Nel 2013, Google ha lanciato due log pubblici e ha annunciato l'intenzione di richiedere la CT per tutti i certificati SSL EV in Google Chrome.
A partire dal 2012, DigiCert ha sperimentato l'integrazione della CT fornendo il suo feedback sulle implementazioni proposte per la CT. Nel settembre 2013 DigiCert è stata la prima CA a implementare la CT nei propri sistemi e nell'ottobre dello stesso anno è stata la prima CA a offrire ai clienti la possibilità di incorporare le prove della CT nei certificati SSL.
Nel settembre 2014 DigiCert ha presentato a Google un log privato da inserire in Google Chrome. Il log DigiCert è stato accettato il 31 dicembre 2014. DigiCert è stata la prima CA a creare un log CT.
