。动作证文人态体例的辅助用具,CT Log可能通过输入域名或企业名称查问旗下域名通盘SSL证书的签发纪录,识别过时、吊销、误签或恶意签发的SSL证书。
方今环球少睹百个受相信的CA机构,任何一家CA都有权柄为您的域名颁布有用的SSL证书。若是CA机构未遵循验证机制误签SSL证书,或CA体例被黑而签发恶意证书或伪制证书,导致这些作歹签发的SSL证书流入收集,恫吓互联网的安然。由于PKI编制中的这个破绽,近年来产生了不止一次SSL证书伪制事项!
早正在2015年,谷歌挖掘赛门铁克旗下的 Root CA 未经制定签发了浩繁域名的数千个证书,此中包含谷歌旗下的域名和不存正在的域名,该 Root CA 签发的证书或许被用于拦截、败坏或假装谷歌产物或用户的安然通讯。
2017年3月,谷歌和火狐视察又挖掘赛门铁克未经授权误签发了 127 张 SSL 证书,跟着视察进一步展开挖掘误签发的证书数目到达惊人的 3 万众张!谷歌呈现,此次误签证书的来由是赛门铁克未能无误验证域名,看待申请异常域名 SSL 证书的申请者身份审核不端庄。别的,他们还指出,赛门铁克公司既没有对未经授权发行的证书举行日记审核,也没有对这一缺陷举行改革。
因而,当CA机构的权柄被滥用或是操作失误签发了不该签发的SSL证书,谁能监视、检测、挖掘这些恶意或误签的数字证书?
此时,证书透后度(Certificate Transparency)应运而生。CT Log战术规章CA必必要揭橥每天签发的SSL证书,并对CT日记举行监控、审计。未坚守CT Log战术规范的网站安然证书,浏览器将弹出此网站证书不适合CT请求的告诫,提示用户不予相信免得蒙受攻击,由于自2018年4月劈头,谷歌、火狐、苹果等浏览器接踵劈头强制践诺SSL证书透后度策略。
由此可睹,证书透后度机制为SSL证书相信供应了格外的安然保护,让浏览器客户端不光是纯粹的相信CA,而是让用户或企业可能随时通过CT Log查问和监控谁为自身的域名签发了SSL证书,从而确包管书的合法性。
锐成新推的CT Log查问用具容许浏览器厂商、CA同行、证书申报者以及终端用户等分别身份的职员都能自正在地且随时检测是否存正在未经授权颁布的SSL证书,从而避免人工毛病或充作手脚导致误签证书。
别的,因为CT日记只可增添证书纪录,不行改正或删除旧的纪录,因而,日常已签发的、过时的或是吊销的SSL证书均有纪录立案,通过锐成证书透后过活记查问用具可能获取到为此域名颁布的通盘SSL证书史册纪录,包含CA签发机构、证书有用期、现时状况以及其他证书的要紧精确讯息。
据悉,目前邦内的SSL证书透后过活记查问用具对照罕睹,锐成推出的这款证书透后查问用具填充了这一空白,任何人只必要输入域名或企业名称就能查问到旗下域名通盘SSL证书的签发纪录,识别过时、吊销、误签或恶意签发的SSL证书,这无疑有助于数字证文人态体例特别安然地运转!