記錄、瀏覽器和CA對憑證透明度(CT)的支援情況如何?
記錄
自2018年2月起,DigiCert開始預設向憑證透明度(CT)記錄提交所有新頒發的公開信任TLS/SSL憑證。Google對整個行業的要求於2018年4月生效,我們在此之前已經做出這一改變,旨在改進客戶的安全性並鼓勵採用。在2018年之前,僅需要對EV憑證進行記錄。
DigiCert運作自己的CT記錄,Google也在使用此記錄。記錄需要具有高度的可用性,並通過90天的測試期以對此進行證明。無法滿足這些高要求的記錄不受信任。因此,DigiCert在建立記錄時採取了額外的預防措施,並確保其足夠可靠,能夠處理所有已頒發憑證的數量。
瀏覽器
Chrome ——Chrome自2014年初開始支援CT。目前他們正在將這種支援擴充為對所有頒發憑證的CA的要求。
對於一年期憑證,Google需要來自兩個獨立記錄的CT證明。對於在2020年即一年期憑證成為標準之前所頒發的兩年期憑證,要求該憑證必須包括來自至少三個獨立記錄的CT證明。為了讓CA順利度過過渡階段,Google暫時放寬了其獨立性要求,允許CA包含來自Google記錄的兩個證明和來自DigiCert記錄的一個證明。預期會有更多的CA和相關方將在過渡階段創建記錄,以確保有足夠數量的作業記錄。
Firefox——目前Firefox對於使用者所造訪的網站不檢查也不要求CT記錄的使用。
Safari——Apple要求不同數量的SCT,以便Safari和其他伺服器信任伺服器憑證。
憑證授權中心:
根據網際網路工程任務推動小組(IETF)的RFC 9162,預計公用 CA將把其所有新頒發的憑證添加到一個或多個記錄;然而,憑證持有人也可以添加自己的憑證鏈結,第三方也是如此。
至2015年1月,所有主要CA都開始將已頒發的EV憑證納入CT記錄伺服器。任何頒發EV憑證的CA都必須使用兩個可用的Google記錄和DigiCert記錄,以滿足Google的要求。
DigiCert如何滿足憑證透明度合規要求?
CT透過創建可公開稽核的憑證頒發記錄來強化TLS/SSL憑證系統。自2015年以來,Google要求CA將EV憑證記錄到公用CT記錄。2018年4月,Google開始要求CA也將OV和DV憑證記錄到公用CT記錄。
DigiCert於2018年2月1日起開始向公用CT記錄發佈所有新頒發的公開TLS/SSL憑證。此變化不影響2018年2月1日之前頒發的任何OV或DV憑證。
具備憑證透明度原則的瀏覽器:
自2018年4月起,Google要求CA記錄所有TLS/SSL憑證(EV、OV和DV)。
自2018年10月15日起,Apple要求CA記錄所有TLS/SSL憑證(EV、OV和DV)。
憑證透明度的背景和歷史是什麼?
2011年,一家名為DigiNotar的荷蘭憑證授權中心(CA)遭到駭客攻擊,攻擊者得以創建了500多個從DigiNota的受信任根頒發的詐騙憑證。攻擊者利用這些憑證冒充包括Google和Facebook在內的多個網站,對毫無戒心的使用者進行“中間人”攻擊。
這一事件,以及其他備受矚目的非DigiCert CA錯誤或惡意頒發憑證的事件,促使Google工程師進行腦力激盪,尋找新的解決方案。在其進行腦力激盪的過程中,兩位工程師Ben Laurie和Adam Langley提出了憑證透明度(CT)的想法,並開始將該框架作為開放原始碼專案進行開發。2012年,Laurie和Langley與IETF共同起草了一份概述憑證透明度的工作草案,並於2013年發佈RFC。
2013年,Google推出了兩個公用記錄,並宣告計劃,最終將對Google Chrome中的所有EV SSL憑證要求CT。
從2012年開始,DigiCert對CT整合進行試驗,並對擬進行的CT實作提供回饋意見。2013年9月,DigiCert成為首家在其系統中實作CT的CA,同年10月,DigeCert成為首家為客戶提供在SSL憑證中內嵌CT證明選項的CA。
2014年9月,DigiCert向Google提交了私人記錄,以將其納入Google Chrome。DigiCert記錄於2014年12月31日被接受。DigiCert是首家創建CT記錄的CA。
