证书透明度

证书透明度（英语：Certificate Transparency，简称CT）也称证书透明、证书透明化，它是一个实验性的IETF 开源标准^[1]和开源框架，目的是监测和审计数字证书。通过证书日志、监控和审计系统，证书透明度使网站用户和域名持有者可以识别不当或恶意签发的证书，以及识别数字证书认证机构（CA）的作为。

背景

当前的数字证书管理系统中的缺陷正使欺诈证书导致的安全问题与隐私泄露风险变得日益明显。

2011年，荷兰的数字证书机构DigiNotar在入侵者利用其基础设施成功创建了超过500个欺诈性数字证书后申请破产。^[2]

Ben Laurie和Adam Langley构思了证书透明度，并将一个框架实现开发为开源项目。

优点

数字证书管理的问题之一是，欺诈性证书需要很长时间才能被浏览器提供商发现、报告和撤销。证书透明度有助于避免在瞒过域持有者的情况下为域颁发证书。

证书透明度不需要侧信道通信来验证证书，它们由在线证书状态协议（OCSP）或Convergence等技术完成。证书透明度也不需要信任第三方。

证书透明度日志

证书透明度依赖于可验证的证书透明度日志。日志会添加新的证书到不断增长的哈希树。^[1]^{:Section 3} 为正确完成该行为，日志必须：

验证每个提交的证书或预证书是否有有效的签名链，链条链向受信任的根证书颁发机构证书。
拒绝发布无有效签名链的证书。
存储新接受的可链向根证书的证书。
根据请求提供此链的审计。

日志可以接受尚未完全生效或者已过期的证书。

证书透明度监视器

监视器是作为日志服务器的客户端，检查日志以确保行为正确。发生不一致则表示日志没有正确运行。日志的数据结构（Merkle树）上的签名防止日志否认不良行为。

证书透明度审计器

审计器也作为日志服务器的客户端运行。证书透明度审计器使用有关日志的部分信息验证日志及其他部分的信息。^[1]^{:Section 5.4}

证书颁发机构实现

2013年3月，Google推出其首个证书透明度日志。^[3]2013年9月，DigiCert成为首个实现证书透明度的数字证书认证机构。^[4]

Google Chrome在2015年开始要求新颁发的扩展验证证书（EV）提供“证书透明度”。^[5]^[6]因为被发现有187个证书在未经域所有者知晓的情况下被颁发，赛门铁克（Symantec）被要求自2016年6月1日起新颁发的所有证书必须配备证书透明度。^[7]^[8]

2017年4月，Google将原定的2017年10月Chrome将要求所有SSL证书支持证书透明度（CT）的日期推迟至2018年4月，以给行业更多准备时间^[9]

参考资料

↑ ^1.0 ^1.1 ^1.2 Laurie. RFC 6962 - Certificate Transparency. The Internet Engineering Task Force. 2013-06 [2013-11-20].
↑ Kim Zetter. DigiNotar Files for Bankruptcy in Wake of Devastating Hack. Wired. 2011-09-11 [2014-11-14].
↑ Known Logs - Certificate Transparency. [2016-12-06].
↑ DigiCert Announces Certificate Transparency Support. Dark Reading. [2013-11-12].
↑ Woodfield, Meggie. Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome. DigiCert Blog. DigiCert. 2014-12-05 [2016-12-06].
↑ Laurie, Ben. Updated Certificate Transparency + Extended Validation plan. cabfpub (邮件列表). 2014-02-04 [2016-12-06].
↑ Symantec Certificate Transparency (CT) for certificates issued before June 1, 2016. Symantec Knowledge Center. Symantec. 2016-06-09 [2016-12-06].
↑ Sleevi, Ryan. Sustaining Digital Certificate Security. Google Security Blog. Google. 2015-10-28. 缺少或|url=为空 (帮助);
↑ Chrome将“强制证书透明度要求”推迟至2018年. 沃通. 2017-05-15 [2017-05-26].

外部链接

RFC 6962 - 互联网工程任务组
Certificate-transparency.org，有关证书透明度工作机制的常规信息
crt.sh，一个证书透明度日志搜索引擎
Certificate Transparency 那些事

[rfc6962-1] 1.0 ^1.1 ^1.2 Laurie. RFC 6962 - Certificate Transparency. The Internet Engineering Task Force. 2013-06 [2013-11-20].

[2] Kim Zetter. DigiNotar Files for Bankruptcy in Wake of Devastating Hack. Wired. 2011-09-11 [2014-11-14].

[knownlogs-3] Known Logs - Certificate Transparency. [2016-12-06].

[4] DigiCert Announces Certificate Transparency Support. Dark Reading. [2013-11-12].

[5] Woodfield, Meggie. Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome. DigiCert Blog. DigiCert. 2014-12-05 [2016-12-06].

[6] Laurie, Ben. Updated Certificate Transparency + Extended Validation plan. cabfpub (邮件列表). 2014-02-04 [2016-12-06].

[7] Symantec Certificate Transparency (CT) for certificates issued before June 1, 2016. Symantec Knowledge Center. Symantec. 2016-06-09 [2016-12-06].

[8] Sleevi, Ryan. Sustaining Digital Certificate Security. Google Security Blog. Google. 2015-10-28. 缺少或|url=为空 (帮助);

[9] Chrome将“强制证书透明度要求”推迟至2018年. 沃通. 2017-05-15 [2017-05-26].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]