证书透明度:修订间差异
小 修飾語句 |
|||
第4行: | 第4行: | ||
}} |
}} |
||
{{校对翻译}} |
{{校对翻译}} |
||
''' |
'''证书透明度'''({{lang-en|'''Certificate Transparency'''}},简称'''CT''')也称'''证书透明'''、'''证书透明化''',它是一个实验性的[[互联网工程任务组|IETF]][[开源标准]]<ref name="rfc6962" />和[[开放源代码|开源]][[軟體框架|框架]],目的是监测和审计[[電子證書|数字证书]]。通过证书日志、监控和审计系统,证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书,以及识别[[数字证书认证机构]](CA)的作为。 |
||
證書透明度工作始於 2011 年,當時證書授權單位DigiNotar受到攻擊並開始頒發惡意憑證。至2021年,公開信任的[[傳輸層安全性協定|TLS]]證書須強制實現證書透明度,但其他類型的證書則未有相應要求。<ref>{{Cite web|last=Call|first=Ashley|date=2015-06-03|title=Certificate Transparency: FAQs {{!}} DigiCert Blog|url=https://www.digicert.com/dc/blog/certificate-transparency-faqs/|access-date=2021-04-13|website=DigiCert|language=en-US|archive-date=2022-05-20|archive-url=https://web.archive.org/web/20220520141427/https://www.digicert.com/dc/blog/certificate-transparency-faqs/}}</ref><ref name=":0" /> |
|||
== 背景 == |
== 背景 == |
||
当前的数字证书管理系统中的缺陷正使欺诈证书导致的安全问题与隐私泄露风险变得日益明显。 |
|||
⚫ | |||
⚫ | 2011年,荷兰的数字证书机构{{tsl|en|DigiNotar}}在[[骇客|入侵者]]利用其基础设施成功创建了超过500个欺诈性数字证书后申请[[破产]]。<ref>{{Cite web|url=http://www.wired.com/2011/09/diginotar-bankruptcy/|title=DigiNotar Files for Bankruptcy in Wake of Devastating Hack|accessdate=2014-11-14|author=Kim Zetter|date=2011-09-11|publisher=Wired|archive-date=2014-11-28|archive-url=https://web.archive.org/web/20141128045759/http://www.wired.com/2011/09/diginotar-bankruptcy/|dead-url=no}}</ref> |
||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
=== |
=== 证书透明度日志 === |
||
⚫ | 证书透明度依赖于可验证的证书透明度日志。日志会添加新的证书到不断增长的[[哈希树]]。<ref name="rfc6962">{{Cite web|url=https://tools.ietf.org/html/rfc6962|title=RFC 6962 - Certificate Transparency|accessdate=2013-11-20|author=Laurie|date=June 2013|publisher=The Internet Engineering Task Force|archive-date=2017-09-25|archive-url=https://web.archive.org/web/20170925163407/https://tools.ietf.org/html/rfc6962|dead-url=no}}</ref>{{Rp|Section 3}} 为正确完成该行为,日志必须: |
||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
=== |
=== 证书透明度监视器 === |
||
⚫ | |||
⚫ | |||
⚫ | |||
== 憑證授權實現 == |
|||
⚫ | |||
⚫ | 2013年3月,Google推出其首 |
||
== 证书颁发机构实现 == |
|||
⚫ | [[Google Chrome]]在2015年 |
||
⚫ | 2013年3月,Google推出其首个证书透明度日志。<ref name="knownlogs">{{Cite web|url=http://www.certificate-transparency.org/known-logs|title=Known Logs - Certificate Transparency|accessdate=2016-12-06|archive-date=2016-12-16|archive-url=https://web.archive.org/web/20161216085124/http://www.certificate-transparency.org/known-logs|dead-url=no}}</ref> 2013年9月,[[DigiCert]]成为首个实现证书透明度的[[数字证书认证机构]]。<ref>{{Cite web|url=http://www.darkreading.com/privacy/digicert-announces-certificate-transpare/240161779|title=DigiCert Announces Certificate Transparency Support|accessdate=2013-11-12|publisher=Dark Reading|archiveurl=https://web.archive.org/web/20131010015324/http://www.darkreading.com/privacy/digicert-announces-certificate-transpare/240161779|archivedate=2013-10-10|dead-url=no}}</ref> |
||
⚫ | [[Google Chrome]]在2015年开始要求新颁发的[[扩展验证证书]](EV)提供“证书透明度”。<ref>{{Cite web|url=https://blog.digicert.com/certificate-transparency-required-ev-certificates-show-green-address-bar-chrome/|title=Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome|date=December 5, 2014|last=Woodfield|first=Meggie|work=DigiCert Blog|publisher=[[DigiCert]]|accessdate=2016-12-06|archive-date=2016-10-13|archive-url=https://web.archive.org/web/20161013173422/https://blog.digicert.com/certificate-transparency-required-ev-certificates-show-green-address-bar-chrome/|dead-url=no}}</ref><ref>{{Cite mailing list|last=Laurie|first=Ben|date=February 4, 2014|mailing-list=cabfpub|title=Updated Certificate Transparency + Extended Validation plan|url=https://cabforum.org/pipermail/public/2014-February/002840.html|access-date=2016-12-06|archive-date=2014-03-30|archive-url=https://web.archive.org/web/20140330191951/https://cabforum.org/pipermail/public/2014-February/002840.html|dead-url=no}}</ref>因为被发现有187个证书在未经域所有者知晓的情况下被颁发,[[赛门铁克]](Symantec)被要求自2016年6月1日起新颁发的所有证书必须配备证书透明度。<ref>{{Cite web|url=https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=INFO3663|title=Symantec Certificate Transparency (CT) for certificates issued before June 1, 2016|date=June 9, 2016|work=Symantec Knowledge Center|publisher=[[Symantec]]|access-date=2016-12-06|archive-url=https://web.archive.org/web/20161005230125/https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=INFO3663|archive-date=2016-10-05|dead-url=yes}}</ref><ref>{{Cite web|url=https://security.googleblog.com/2015/10/sustaining-digital-certificate-security.html|title=Sustaining Digital Certificate Security|date=October 28, 2015|last=Sleevi|first=Ryan|work=Google Security Blog|publisher=[[Google]]|accessdate=2016-12-06|archive-date=2016-12-07|archive-url=https://web.archive.org/web/20161207170146/https://security.googleblog.com/2015/10/sustaining-digital-certificate-security.html|dead-url=no}}</ref> |
||
⚫ | 2017年4月,Google |
||
⚫ | 2017年4月,Google将原定的2017年10月Chrome将要求所有SSL证书支持证书透明度(CT)的日期推迟至2018年4月,以给行业更多准备时间<ref>{{cite web|title=Chrome将“强制证书透明度要求”推迟至2018年|url=https://www.wosign.com/News/Chrome-CT-2018.htm|website=沃通|accessdate=2017-05-26|date=2017-05-15|archive-date=2021-05-19|archive-url=https://web.archive.org/web/20210519030748/https://www.wosign.com/News/Chrome-CT-2018.htm}}</ref> |
||
== |
== 参考资料 == |
||
{{Reflist}} |
{{Reflist}} |
||
2024年7月12日 (五) 16:05的版本
此條目需要更新。 (2021年8月21日) |
此條目翻譯自其他語言維基百科,需要相關領域的編者協助校對翻譯。 |
证书透明度(英語:Certificate Transparency,简称CT)也称证书透明、证书透明化,它是一个实验性的IETF开源标准[1]和开源框架,目的是监测和审计数字证书。通过证书日志、监控和审计系统,证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书,以及识别数字证书认证机构(CA)的作为。
證書透明度工作始於 2011 年,當時證書授權單位DigiNotar受到攻擊並開始頒發惡意憑證。至2021年,公開信任的TLS證書須強制實現證書透明度,但其他類型的證書則未有相應要求。[2][3]
背景
当前的数字证书管理系统中的缺陷正使欺诈证书导致的安全问题与隐私泄露风险变得日益明显。
2011年,荷兰的数字证书机构DigiNotar在入侵者利用其基础设施成功创建了超过500个欺诈性数字证书后申请破产。[4]
Ben Laurie和Adam Langley构思了证书透明度,并将一个框架实现开发为开源项目。
优点
数字证书管理的问题之一是,欺诈性证书需要很长时间才能被浏览器提供商发现、报告和撤销。证书透明度有助于避免駭客在未經網域持有者的知情下为網域颁发证书。
证书透明度不需要侧信道通信来验证证书,它们由在线证书状态协议(OCSP)或Convergence等技术完成。证书透明度也不需要信任第三方。
证书透明度日志
证书透明度依赖于可验证的证书透明度日志。日志会添加新的证书到不断增长的哈希树。[1]:Section 3 为正确完成该行为,日志必须:
- 验证每个提交的证书或预证书是否有有效的签名链,链条链向受信任的根证书颁发机构证书。
- 拒绝发布无有效签名链的证书。
- 存储新接受的可链向根证书的证书。
- 根据请求提供此链的审计。
日志可以接受尚未完全生效或者已过期的证书。
证书透明度监视器
监视器是作为日志服务器的客户端,检查日志以确保行为正确。发生不一致则表示日志没有正确运行。日志的数据结构(Merkle树)上的签名防止日志否认不良行为。
证书透明度审计器
审计器也作为日志服务器的客户端运行。证书透明度审计器使用有关日志的部分信息验证日志及其他部分的信息。[1]:Section 5.4
证书颁发机构实现
2013年3月,Google推出其首个证书透明度日志。[5] 2013年9月,DigiCert成为首个实现证书透明度的数字证书认证机构。[6]
Google Chrome在2015年开始要求新颁发的扩展验证证书(EV)提供“证书透明度”。[7][8]因为被发现有187个证书在未经域所有者知晓的情况下被颁发,赛门铁克(Symantec)被要求自2016年6月1日起新颁发的所有证书必须配备证书透明度。[9][10]
2017年4月,Google将原定的2017年10月Chrome将要求所有SSL证书支持证书透明度(CT)的日期推迟至2018年4月,以给行业更多准备时间[11]
参考资料
- ^ 1.0 1.1 1.2 Laurie. RFC 6962 - Certificate Transparency. The Internet Engineering Task Force. June 2013 [2013-11-20]. (原始内容存档于2017-09-25).
- ^ Call, Ashley. Certificate Transparency: FAQs | DigiCert Blog. DigiCert. 2015-06-03 [2021-04-13]. (原始内容存档于2022-05-20) (美国英语).
- ^ 引用错误:没有为名为
:0
的参考文献提供内容 - ^ Kim Zetter. DigiNotar Files for Bankruptcy in Wake of Devastating Hack. Wired. 2011-09-11 [2014-11-14]. (原始内容存档于2014-11-28).
- ^ Known Logs - Certificate Transparency. [2016-12-06]. (原始内容存档于2016-12-16).
- ^ DigiCert Announces Certificate Transparency Support. Dark Reading. [2013-11-12]. (原始内容存档于2013-10-10).
- ^ Woodfield, Meggie. Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome. DigiCert Blog. DigiCert. December 5, 2014 [2016-12-06]. (原始内容存档于2016-10-13).
- ^ Laurie, Ben. Updated Certificate Transparency + Extended Validation plan. cabfpub (邮件列表). February 4, 2014 [2016-12-06]. (原始内容存档于2014-03-30).
- ^ Symantec Certificate Transparency (CT) for certificates issued before June 1, 2016. Symantec Knowledge Center. Symantec. June 9, 2016 [2016-12-06]. (原始内容存档于2016-10-05).
- ^ Sleevi, Ryan. Sustaining Digital Certificate Security. Google Security Blog. Google. October 28, 2015 [2016-12-06]. (原始内容存档于2016-12-07).
- ^ Chrome将“强制证书透明度要求”推迟至2018年. 沃通. 2017-05-15 [2017-05-26]. (原始内容存档于2021-05-19).
外部链接
- RFC 6962 - 互联网工程任务组
- Certificate-transparency.org(页面存档备份,存于互联网档案馆),有关证书透明度工作机制的常规信息
- crt.sh(页面存档备份,存于互联网档案馆),一个证书透明度日志搜索引擎
- Certificate Transparency 那些事(页面存档备份,存于互联网档案馆)
|