什麼是憑證透明度?
憑證透明度(CT)是記錄、監測人員和稽核人員的開放框架,旨在幫助網域名稱的擁有者監督為其品牌所頒發的數位憑證。CT記錄透過提供一種更容易發現頒發不當的憑證或惡意憑證的方法,從而幫助網域名稱擁有者保護其品牌。頒發憑證的實體,如CA,對憑證進行記錄以符合相關標準。
DigiCert支援CT,其原因是及早檢測出頒發不當的憑證對伺服器操作員和使用者而言非常重要。因此,CT對行業來說是一項重大改進,並讓採用憑證頒發良好做法的CA脫穎而出。我們將始終遵循有關身分驗證和頒發高保障度數位憑證的最高標準。
憑證透明度的優勢是什麼?
及早檢測:CT有助於在幾個小時而不是幾天、幾周或幾個月內檢測出未經授權的憑證。網域名稱擁有者能夠識別出未經明確核准或在其網域名稱原則之外而頒發的任何憑證。
加速緩解:使用CT可幫助使用者確定哪些憑證需要撤銷,從而使其能夠快速與頒發憑證的CA進行溝通並縮短憑證撤銷流程。
增進瞭解:CT能讓公眾深入瞭解SSL/TLS系統,讓任何人都能觀察並驗證系統的健康狀況和完整性。使用者還可以看到各家CA在頒發流程方面的差異。
強化安全:透過為憑證頒發流程提供透明度並讓使用者瞭解已頒發的憑證,CT強化了信任鏈並提高了所有人進行線上瀏覽的安全性。
憑證透明度的目標是什麼?
憑證透明度(CT)的成功依賴於多方支援,包括憑證授權中心(CA)、瀏覽器、品牌擁有者和運作公用CT記錄的獨立公司。
CT的最終目標是雙重的。首先,CA將所有TLS/SSL憑證記錄在由獨立公司運作的多個公開可用的CT記錄中,從而讓瀏覽器僅為已記錄的憑證提供信任。其次,網域名稱擁有者和相關方可以監測這些CT記錄,以檢測CA頒發不當的憑證或實際上未經組織授權的憑證。
DigiCert還支援另外的憑證驗證並認為有必要制定更高的驗證標準,以確保所頒發的每個憑證都已獲得擁有網域名稱或品牌的組織的授權。雖然CT僅在頒發完成後提供此確認,但我們認為CT記錄是TLS/SSL憑證驗證的重要組成部分,也是對C/AB論壇基準要求中已有的關於要求者驗證的補充。
