跳转到内容

证书透明度:修订间差异

本页使用了标题或全文手工转换
维基百科,自由的百科全书
以互动方式浏览历史
←上一版本下一版本→
删除的内容 添加的内容
可视化wikitext
一咕嚕留言 | 贡献
459次编辑
修飾語句
回退一咕嚕讨论)做出的出于善意的编辑:繁简破坏,请重新提交有用的修改
标签TW 撤销
第4行: 第4行:
}}
}}
{{校对翻译}}
{{校对翻译}}
'''憑證透明度'''({{lang-en|'''Certificate Transparency'''}},簡稱'''CT''')也'''憑證透明'''、'''憑證透明化''',是一個實驗性的[[互聯網工程任務組|IETF]][[標準]]<ref name="rfc6962" />和[[原始碼|源]][[軟體框架|框架]],旨在監測審計[[電子證書|數位憑證]]。透過憑證誌(憑證紀錄檔)控和審計憑證透明度使站用和域名持有者可以識別簽發憑證,以及識別[[数字证书认证机构|數位憑證認證機構]](CA)的行為
'''证书透明度'''({{lang-en|'''Certificate Transparency'''}},简称'''CT''')也'''证书透明'''、'''证书透明化''',是一个实验性的[[互联网工程任务组|IETF]][[标准]]<ref name="rfc6962" />和[[源代码|源]][[軟體框架|框架]],目的是监测审计[[電子證書|数字证书]]。通过证书控和审计证书透明度使站用和域名持有者可以识别签发证书,以及识别[[数字证书认证机构]](CA)的作为


證透明度工作始於2011年,當時數位憑證授權單位DigiNotar受到攻擊並開始頒發惡意憑證。至2021年,公開信任的[[傳輸層安全性協定|TLS]]須強制實現證透明度,但其他類型的證則未有相應要求。<ref>{{Cite web|last=Call|first=Ashley|date=2015-06-03|title=Certificate Transparency: FAQs {{!}} DigiCert Blog|url=https://www.digicert.com/dc/blog/certificate-transparency-faqs/|access-date=2021-04-13|website=DigiCert|language=en-US|archive-date=2022-05-20|archive-url=https://web.archive.org/web/20220520141427/https://www.digicert.com/dc/blog/certificate-transparency-faqs/}}</ref>
透明度工作始於 2011 年,當時證授權單位DigiNotar受到攻擊並開始頒發惡意憑證。至2021年,公開信任的[[傳輸層安全性協定|TLS]]證須強制實現證透明度,但其他類型的證則未有相應要求。<ref>{{Cite web|last=Call|first=Ashley|date=2015-06-03|title=Certificate Transparency: FAQs {{!}} DigiCert Blog|url=https://www.digicert.com/dc/blog/certificate-transparency-faqs/|access-date=2021-04-13|website=DigiCert|language=en-US|archive-date=2022-05-20|archive-url=https://web.archive.org/web/20220520141427/https://www.digicert.com/dc/blog/certificate-transparency-faqs/}}</ref><ref name=":0" />


== 背景 ==
== 背景 ==
当前的数字证书管理系统中的缺陷正使欺诈证书导致的安全问题与隐私泄露风险变得日益明显。
當前的數位憑證管理系統中的缺陷使欺詐憑證導致的安全問題和隱私洩露風險變得日益明顯。2011年,荷數位憑證機構{{tsl|en|DigiNotar}}在[[骇客|入侵者]]利用其基礎設施成功建了超500數位憑證後[[破]]。<ref>{{Cite web|url=http://www.wired.com/2011/09/diginotar-bankruptcy/|title=DigiNotar Files for Bankruptcy in Wake of Devastating Hack|accessdate=2014-11-14|author=Kim Zetter|date=2011-09-11|publisher=Wired|archive-date=2014-11-28|archive-url=https://web.archive.org/web/20141128045759/http://www.wired.com/2011/09/diginotar-bankruptcy/|dead-url=no}}</ref>


2011年,荷数字证书机构{{tsl|en|DigiNotar}}在[[骇客|入侵者]]利用其基础设施成功建了超500数字证书后[[破]]。<ref>{{Cite web|url=http://www.wired.com/2011/09/diginotar-bankruptcy/|title=DigiNotar Files for Bankruptcy in Wake of Devastating Hack|accessdate=2014-11-14|author=Kim Zetter|date=2011-09-11|publisher=Wired|archive-date=2014-11-28|archive-url=https://web.archive.org/web/20141128045759/http://www.wired.com/2011/09/diginotar-bankruptcy/|dead-url=no}}</ref>
{{tsl|en|Ben Laurie}}和Adam Langley思了憑證透明度,並將其框架實現為[[原始碼|源]]專案


{{tsl|en|Ben Laurie}}和Adam Langley思了证书透明度,并将一个框架实现开发为[[源代码|源]]项目
=== 優點 ===
數位憑證管理的問題之一是,欺憑證需要很長時間才能被瀏覽器提供商發現告和撤憑證透明度有助避免駭客在未經網域持有者知情下名頒發憑證


=== 优点 ===
憑證透明度不需要側通道通信來驗證憑證這些由[[線上憑證狀態協定]](OCSP)或{{tsl|en|Convergence (SSL)|Convergence}}等技完成。憑證透明度也不需要信任第三方。
数字证书管理的问题之一是,欺证书需要很长时间才能被浏览器提供商发现告和撤证书透明度有助避免駭客在未經網域持有者知情下为網颁发证书


证书透明度不需要侧信道通信来验证证书它们由[[在线证书状态协议]](OCSP)或{{tsl|en|Convergence (SSL)|Convergence}}等技完成。证书透明度也不需要信任第三方。
=== 憑證透明度日誌 ===
憑證透明度依賴於驗證憑證透明度日。日誌會將新的憑證添加到不的[[哈希树|雜湊樹]]。<ref name="rfc6962">{{Cite web|url=https://tools.ietf.org/html/rfc6962|title=RFC 6962 - Certificate Transparency|accessdate=2013-11-20|author=Laurie|date=June 2013|publisher=The Internet Engineering Task Force|archive-date=2017-09-25|archive-url=https://web.archive.org/web/20170925163407/https://tools.ietf.org/html/rfc6962|dead-url=no}}</ref>{{Rp|Section 3}}完成,日
*驗證提交的憑證預憑證是否有有效的鏈條鏈向受信任的根憑證授權憑證
*拒絕發佈無有效憑證
*存新接受的可向根憑證憑證
*根據請求提供此審計
誌(紀錄檔)可以接受尚未完全生效或者已期的憑證


=== 憑證透明度監視器 ===
=== 证书透明度日志 ===
证书透明度依赖于验证证书透明度日。日志会添加新的证书到不的[[哈希树]]。<ref name="rfc6962">{{Cite web|url=https://tools.ietf.org/html/rfc6962|title=RFC 6962 - Certificate Transparency|accessdate=2013-11-20|author=Laurie|date=June 2013|publisher=The Internet Engineering Task Force|archive-date=2017-09-25|archive-url=https://web.archive.org/web/20170925163407/https://tools.ietf.org/html/rfc6962|dead-url=no}}</ref>{{Rp|Section 3}}完成,日
監視器作誌伺服器的用戶端,查日如發生不一致表示日誌未確運行。日資料結構雜湊樹([[哈希树|Merkle tree]])上的名防止日不良行
* 验证提交的证书预证书是否有有效的链条链向受信任的根证书颁发机构证书
* 绝发布无有效证书
* 新接受的可向根证书证书
* 据请求提供此审计
可以接受尚未完全生效或者已期的证书


=== 憑證透明度審計器 ===
=== 证书透明度监视器 ===
监视器的客户端,查日保行生不一致表示日志没有确运行。日数据结构([[哈希树|Merkle]])上的名防止日不良行
審計器作誌伺服器的用戶使用有的部分資訊驗證及其他部分的資訊。<ref name="rfc6962" />{{Rp|Section 5.4}}


=== 证书透明度审计器 ===
== 憑證授權實現 ==
审计器的客户。证书透明度审计器使用有的部分信息验证及其他部分的信息。<ref name="rfc6962" />{{Rp|Section 5.4}}
2013年3月,Google推出其首個憑證透明度日。<ref name="knownlogs">{{Cite web|url=http://www.certificate-transparency.org/known-logs|title=Known Logs - Certificate Transparency|accessdate=2016-12-06|archive-date=2016-12-16|archive-url=https://web.archive.org/web/20161216085124/http://www.certificate-transparency.org/known-logs|dead-url=no}}</ref> 2013年9月,[[DigiCert]]成個實現憑證透明度的[[数字证书认证机构|數位憑證認證機構]]。<ref>{{Cite web|url=http://www.darkreading.com/privacy/digicert-announces-certificate-transpare/240161779|title=DigiCert Announces Certificate Transparency Support|accessdate=2013-11-12|publisher=Dark Reading|archiveurl=https://web.archive.org/web/20131010015324/http://www.darkreading.com/privacy/digicert-announces-certificate-transpare/240161779|archivedate=2013-10-10|dead-url=no}}</ref>


== 证书颁发机构实现 ==
[[Google Chrome]]在2015年始要求新頒發的[[扩展验证证书|擴展驗證憑證]](EV)提供“憑證透明度”。<ref>{{Cite web|url=https://blog.digicert.com/certificate-transparency-required-ev-certificates-show-green-address-bar-chrome/|title=Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome|date=December 5, 2014|last=Woodfield|first=Meggie|work=DigiCert Blog|publisher=[[DigiCert]]|accessdate=2016-12-06|archive-date=2016-10-13|archive-url=https://web.archive.org/web/20161013173422/https://blog.digicert.com/certificate-transparency-required-ev-certificates-show-green-address-bar-chrome/|dead-url=no}}</ref><ref>{{Cite mailing list|last=Laurie|first=Ben|date=February 4, 2014|mailing-list=cabfpub|title=Updated Certificate Transparency + Extended Validation plan|url=https://cabforum.org/pipermail/public/2014-February/002840.html|access-date=2016-12-06|archive-date=2014-03-30|archive-url=https://web.archive.org/web/20140330191951/https://cabforum.org/pipermail/public/2014-February/002840.html|dead-url=no}}</ref>由於發現有187個憑證在未所有者知的情下被頒發,[[賽門鐵克]](Symantec)被要求自2016年6月1日起新頒發的所有憑證備憑證透明度。<ref>{{Cite web|url=https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=INFO3663|title=Symantec Certificate Transparency (CT) for certificates issued before June 1, 2016|date=June 9, 2016|work=Symantec Knowledge Center|publisher=[[Symantec]]|access-date=2016-12-06|archive-url=https://web.archive.org/web/20161005230125/https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=INFO3663|archive-date=2016-10-05|dead-url=yes}}</ref><ref>{{Cite web|url=https://security.googleblog.com/2015/10/sustaining-digital-certificate-security.html|title=Sustaining Digital Certificate Security|date=October 28, 2015|last=Sleevi|first=Ryan|work=Google Security Blog|publisher=[[Google]]|accessdate=2016-12-06|archive-date=2016-12-07|archive-url=https://web.archive.org/web/20161207170146/https://security.googleblog.com/2015/10/sustaining-digital-certificate-security.html|dead-url=no}}</ref>
2013年3月,Google推出其首个证书透明度日。<ref name="knownlogs">{{Cite web|url=http://www.certificate-transparency.org/known-logs|title=Known Logs - Certificate Transparency|accessdate=2016-12-06|archive-date=2016-12-16|archive-url=https://web.archive.org/web/20161216085124/http://www.certificate-transparency.org/known-logs|dead-url=no}}</ref> 2013年9月,[[DigiCert]]成个实现证书透明度的[[数字证书认证机构]]。<ref>{{Cite web|url=http://www.darkreading.com/privacy/digicert-announces-certificate-transpare/240161779|title=DigiCert Announces Certificate Transparency Support|accessdate=2013-11-12|publisher=Dark Reading|archiveurl=https://web.archive.org/web/20131010015324/http://www.darkreading.com/privacy/digicert-announces-certificate-transpare/240161779|archivedate=2013-10-10|dead-url=no}}</ref>


[[Google Chrome]]在2015年始要求新颁发的[[扩展验证证书]](EV)提供“证书透明度”。<ref>{{Cite web|url=https://blog.digicert.com/certificate-transparency-required-ev-certificates-show-green-address-bar-chrome/|title=Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome|date=December 5, 2014|last=Woodfield|first=Meggie|work=DigiCert Blog|publisher=[[DigiCert]]|accessdate=2016-12-06|archive-date=2016-10-13|archive-url=https://web.archive.org/web/20161013173422/https://blog.digicert.com/certificate-transparency-required-ev-certificates-show-green-address-bar-chrome/|dead-url=no}}</ref><ref>{{Cite mailing list|last=Laurie|first=Ben|date=February 4, 2014|mailing-list=cabfpub|title=Updated Certificate Transparency + Extended Validation plan|url=https://cabforum.org/pipermail/public/2014-February/002840.html|access-date=2016-12-06|archive-date=2014-03-30|archive-url=https://web.archive.org/web/20140330191951/https://cabforum.org/pipermail/public/2014-February/002840.html|dead-url=no}}</ref>因为被发现有187个证书在未域所有者知的情下被颁发,[[赛门铁克]](Symantec)被要求自2016年6月1日起新颁发的所有证书备证书透明度。<ref>{{Cite web|url=https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=INFO3663|title=Symantec Certificate Transparency (CT) for certificates issued before June 1, 2016|date=June 9, 2016|work=Symantec Knowledge Center|publisher=[[Symantec]]|access-date=2016-12-06|archive-url=https://web.archive.org/web/20161005230125/https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=INFO3663|archive-date=2016-10-05|dead-url=yes}}</ref><ref>{{Cite web|url=https://security.googleblog.com/2015/10/sustaining-digital-certificate-security.html|title=Sustaining Digital Certificate Security|date=October 28, 2015|last=Sleevi|first=Ryan|work=Google Security Blog|publisher=[[Google]]|accessdate=2016-12-06|archive-date=2016-12-07|archive-url=https://web.archive.org/web/20161207170146/https://security.googleblog.com/2015/10/sustaining-digital-certificate-security.html|dead-url=no}}</ref>
2017年4月,Google原定2017年10月要求Chrome所有SSL憑證支持憑證透明度(CT)的日期推至2018年4月,以更多準備時間。<ref>{{cite web|title=Chrome将“强制证书透明度要求”推迟至2018年|url=https://www.wosign.com/News/Chrome-CT-2018.htm|website=沃通|accessdate=2017-05-26|date=2017-05-15|archive-date=2021-05-19|archive-url=https://web.archive.org/web/20210519030748/https://www.wosign.com/News/Chrome-CT-2018.htm}}</ref>


2017年4月,Google原定2017年10月Chrome将要求所有SSL证书支持证书透明度(CT)的日期推至2018年4月,以更多准备时间<ref>{{cite web|title=Chrome将“强制证书透明度要求”推迟至2018年|url=https://www.wosign.com/News/Chrome-CT-2018.htm|website=沃通|accessdate=2017-05-26|date=2017-05-15|archive-date=2021-05-19|archive-url=https://web.archive.org/web/20210519030748/https://www.wosign.com/News/Chrome-CT-2018.htm}}</ref>
== 料 ==
== 料 ==
{{Reflist}}
{{Reflist}}


2024年7月12日 (五) 16:05的版本

证书透明度(英語:Certificate Transparency,简称CT)也称证书透明证书透明化,它是一个实验性的IETF开源标准[1]开源框架,目的是监测和审计数字证书。通过证书日志、监控和审计系统,证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书,以及识别数字证书认证机构(CA)的作为。

證書透明度工作始於 2011 年,當時證書授權單位DigiNotar受到攻擊並開始頒發惡意憑證。至2021年,公開信任的TLS證書須強制實現證書透明度,但其他類型的證書則未有相應要求。[2][3]

背景

当前的数字证书管理系统中的缺陷正使欺诈证书导致的安全问题与隐私泄露风险变得日益明显。

2011年,荷兰的数字证书机构DigiNotar英语DigiNotar入侵者利用其基础设施成功创建了超过500个欺诈性数字证书后申请破产[4]

Ben Laurie英语Ben Laurie和Adam Langley构思了证书透明度,并将一个框架实现开发为开源项目。

优点

数字证书管理的问题之一是,欺诈性证书需要很长时间才能被浏览器提供商发现、报告和撤销。证书透明度有助于避免駭客在未經網域持有者的知情下为網域颁发证书。

证书透明度不需要侧信道通信来验证证书,它们由在线证书状态协议(OCSP)或Convergence英语Convergence (SSL)等技术完成。证书透明度也不需要信任第三方。

证书透明度日志

证书透明度依赖于可验证的证书透明度日志。日志会添加新的证书到不断增长的哈希树[1]:Section 3 为正确完成该行为,日志必须:

  • 验证每个提交的证书或预证书是否有有效的签名链,链条链向受信任的根证书颁发机构证书。
  • 拒绝发布无有效签名链的证书。
  • 存储新接受的可链向根证书的证书。
  • 根据请求提供此链的审计。

日志可以接受尚未完全生效或者已过期的证书。

证书透明度监视器

监视器是作为日志服务器的客户端,检查日志以确保行为正确。发生不一致则表示日志没有正确运行。日志的数据结构(Merkle树)上的签名防止日志否认不良行为。

证书透明度审计器

审计器也作为日志服务器的客户端运行。证书透明度审计器使用有关日志的部分信息验证日志及其他部分的信息。[1]:Section 5.4

证书颁发机构实现

2013年3月,Google推出其首个证书透明度日志。[5] 2013年9月,DigiCert成为首个实现证书透明度的数字证书认证机构[6]

Google Chrome在2015年开始要求新颁发的扩展验证证书(EV)提供“证书透明度”。[7][8]因为被发现有187个证书在未经域所有者知晓的情况下被颁发,赛门铁克(Symantec)被要求自2016年6月1日起新颁发的所有证书必须配备证书透明度。[9][10]

2017年4月,Google将原定的2017年10月Chrome将要求所有SSL证书支持证书透明度(CT)的日期推迟至2018年4月,以给行业更多准备时间[11]

参考资料

  1. ^ 1.0 1.1 1.2 Laurie. RFC 6962 - Certificate Transparency. The Internet Engineering Task Force. June 2013 [2013-11-20]. (原始内容存档于2017-09-25). 
  2. ^ Call, Ashley. Certificate Transparency: FAQs | DigiCert Blog. DigiCert. 2015-06-03 [2021-04-13]. (原始内容存档于2022-05-20) (美国英语). 
  3. ^ 引用错误:没有为名为:0的参考文献提供内容
  4. ^ Kim Zetter. DigiNotar Files for Bankruptcy in Wake of Devastating Hack. Wired. 2011-09-11 [2014-11-14]. (原始内容存档于2014-11-28). 
  5. ^ Known Logs - Certificate Transparency. [2016-12-06]. (原始内容存档于2016-12-16). 
  6. ^ DigiCert Announces Certificate Transparency Support. Dark Reading. [2013-11-12]. (原始内容存档于2013-10-10). 
  7. ^ Woodfield, Meggie. Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome. DigiCert Blog. DigiCert. December 5, 2014 [2016-12-06]. (原始内容存档于2016-10-13). 
  8. ^ Laurie, Ben. Updated Certificate Transparency + Extended Validation plan. cabfpub (邮件列表). February 4, 2014 [2016-12-06]. (原始内容存档于2014-03-30). 
  9. ^ Symantec Certificate Transparency (CT) for certificates issued before June 1, 2016. Symantec Knowledge Center. Symantec. June 9, 2016 [2016-12-06]. (原始内容存档于2016-10-05). 
  10. ^ Sleevi, Ryan. Sustaining Digital Certificate Security. Google Security Blog. Google. October 28, 2015 [2016-12-06]. (原始内容存档于2016-12-07). 
  11. ^ Chrome将“强制证书透明度要求”推迟至2018年. 沃通. 2017-05-15 [2017-05-26]. (原始内容存档于2021-05-19). 

外部链接

协议和技术
公钥基础设施
另见
历史
实现
公证
漏洞
理论
密码本
协议
实现
检索自“https://zh.wikipedia.org/w/index.php?title=证书透明度&oldid=83381726