证书透明度:域所有者需要知道什么?

谷歌最近一直站在行业变革的最前沿,以提高 SSL 发行背后的安全性。影响证书持有者的下一轮变更即将上线,域名所有者必须注意这一点。


从 2018 年 4 月 30 日起,Google Chrome 将认为未包含在证书透明度日志中的 SSL 证书是不安全的。当 Google Chrome 用户访问由该日期之后颁发的未记录 SSL 证书保护的网站时,他们会看到一个突出的警告,表明该网站不安全。

继续阅读以了解证书透明度可能如何影响您的业务,以及如何保持保护。

Certificate Transparency 是一项由 Google 支持的方案,旨在弥补用于验证主机身份和加密网络连接的公钥基础设施中的空白。如果没有证书透明度,在线安全和隐私取决于证书颁发机构的可信度,证书颁发机构能够为任何域颁发浏览器信任的证书。

在过去几年中,证书颁发机构未经域所有者许可颁发证书的事件凸显了当前系统的局限性。证书透明度要求所有证书在颁发时都记录在可公开访问的日志中。由于日志可公开访问,因此域所有者可以查看为其域颁发的任何证书。

自 2015 年以来,Google 一直认为没有证书透明度的扩展验证证书是不安全的。从 2018 年 4 月起,该判断将扩展到所有未记录的证书,包括域验证和组织验证 SSL 证书。

在我们仔细研究证书透明度框架及其动机之前,域所有者和托管客户了解以下内容非常重要:

只有在 2018 年 4 月 30 日之后颁发的证书,Google Chrome 才会要求记录这些证书。2018 年 4 月之前颁发的证书仍然是受信任的。
谷歌浏览器的市场份额接近 60%。使用由不支持证书透明度的 CA 颁发的证书将对用户信任产生巨大影响。
在大多数情况下,域所有者除了选择支持证书透明度的证书颁发机构(如 Comodo)外,无需做任何事情。
证书透明度使网络对用户和域所有者更安全。
证书颁发机构的问题

SSL 证书是在线安全和隐私的重要组成部分。它们用于加密浏览器和主机之间的连接,同样重要的是,它们用于验证主机是否有权提供来自域的内容。如果没有该验证,就无法确定客户端连接到预期域,而不是连接到可以读取和修改通过连接传输的数据的恶意主机。

要使 SSL 证书有用,必须在颁发证书之前验证申请人的身份。这就是证书颁发机构的作用。 CA 验证申请人的身份以及他们对域的合法控制:域验证、组织验证和扩展验证涉及越来越多的审查和严格程度。

验证后,证书颁发机构使用其根证书签署 SSL 证书。浏览器绝对信任有限数量的根证书。如果 SSL 证书是由受信任的根证书签名的,则它会受到浏览器的信任。

证书颁发机构是链条中的薄弱环节。如果 CA 遭到黑客攻击、颠覆或管理不善,它可能会在未经域合法所有者许可的情况下颁发和签署证书。

2011 年,荷兰证书颁发机构 Diginotar 遭到黑客攻击,并非法为许多域颁发了签名证书,包括 Google 拥有的域。 WoSign 及其子公司 StartCom 为各个域颁发了未经授权的证书;他们的根证书已从浏览器中删除,导致客户中断。赛门铁克在未经域所有者许可的情况下颁发了数千份证书。

证书透明度为证书颁发机构提供了额外的责任,并为域所有者和浏览器开发人员提供了一种机制来检查证书是否在未经适当授权的情况下颁发。

什么是证书透明度?

证书日志是证书透明度的核心。每个日志都是一个网络服务,其中包含一个可公开访问的 SSL 证书列表。日志是只能附加的——可以添加证书,但不能删除——并使用高级加密技术来保证它们没有被篡改。

在证书透明度下,证书颁发机构需要将他们颁发的每个证书添加到一个或多个日志中。域所有者和其他相关方可以查看日志以查看是否未经许可颁发了证书。

仅当要求证书颁发机构添加他们颁发的所有证书时,日志才有效。为了激励证书颁发机构并保护其用户,谷歌浏览器将不再信任任何未添加到证书日志中的证书,即使它已由 CA 的受信任根证书签名。

在证书颁发机构颁发 SSL 证书之前,他们可以向证书日志提交包含相关详细信息的预证书,该日志将以签名证书时间戳 (SCT) 进行响应,证明证书已被记录。 SCT 应在颁发时包含在 SSL 证书中,以便浏览器可以验证它是否已被记录。这是证明证书已被记录的最常见方法,但还有其他技术,包括 TLS 扩展和 OCSP 装订,这两者都需要特殊的服务器配置,而将 SCT 添加到证书“正常工作”。

证书透明度框架包括其他组件,例如监视证书日志以查找可疑证书的监视器和审计员,这些软件组件可以包含在浏览器和其他软件中,以验证日志的行为是否正确以及特定证书是否包含在一个日志。

证书透明度的好处

证书透明度解决了证书颁发机构系统的一个严重问题,增强了域所有者及其用户和客户的安全性和隐私性。

证书日志使域所有者可以轻松发现是否有任何证书颁发机构为其域颁发了证书。
如果 SSL 证书在未经 CA 许可的情况下颁发,Google Chrome(以及不久的将来的其他浏览器)将不会信任它。
当证书颁发机构“出轨”时,将更容易发现和缓解问题,从而限制风险和中断。
SSL 证书系统并不完全依赖于每个具有可信根证书的 CA 的可信度。
简而言之,证书透明度将使域所有者、服务器托管客户端和 Web 用户更安全。

我应该怎么做才能受到保护?
域所有者应选择支持证书透明度的证书颁发机构,以确保使用 Google Chrome 访问网站的访问者不会收到警告消息。

我们建议从 Comodo 购买证书,因为它们完全支持证书透明度,并且多年来一直是值得信赖的证书颁发机构。

寻找更多方法来确保您的服务器安全?立即联系我们,讨论我们广泛的服务器管理和安全解决方案。