Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Certificate Transparency ( CT ) - это стандарт безопасности в Интернете и платформа с открытым исходным кодом для мониторинга и аудита цифровых сертификатов . [1] Стандарт создает систему общедоступных журналов, которые стремятся в конечном итоге записывать все сертификаты, выданные общественно-доверенными центрами сертификации , что позволяет эффективно идентифицировать ошибочно или злонамеренно выданные сертификаты. [2]

Прозрачность сертификата описана экспериментальным RFC  6962 . В марте 2018 г. была опубликована «Версия 2.0 прозрачности сертификатов», но она не стала стандартом и срок ее действия истек в сентябре 2018 г. [3]

С 2021 года прозрачность сертификата является обязательной для всех сертификатов SSL / TLS, но не для других типов сертификатов. [4]

Фон [ править ]

В 2011 годе , посредник центра сертификации Comodo был атакован и авторитет сертификата DigiNotar был скомпрометирован , [5] обращает внимание на существующие недостатки в экосистеме центра сертификации и ускорение работы по различным механизмам предотвращения или контроля несанкционированной выдачи сертификата. Бен Лори , Адам Лэнгли и Эмилия Каспер начали работу над фреймворком с открытым исходным кодом для решения этих проблем в том же году. Они представили первый проект стандарта как IETF Internet Draft в 2012 году под кодовым названием «Sunlight».

Преимущества [ править ]

Одна из проблем с управлением цифровыми сертификатами заключается в том, что производители браузеров долго обнаруживают, сообщают и отзывают поддельные сертификаты. Прозрачность сертификата помогла бы, сделав невозможным выдачу сертификата для домена без ведома владельца домена.

Прозрачность сертификата не требует связи по побочному каналу для проверки сертификатов, как это делают некоторые конкурирующие технологии, такие как протокол статуса онлайн-сертификатов (OCSP) и конвергенция . Прозрачность сертификатов также работает без необходимости доверять третьей стороне.

Журналы прозрачности сертификатов [ править ]

Прозрачность сертификата зависит от проверяемых журналов прозрачности сертификата. Журнал добавляет новые сертификаты к постоянно растущему хэш-дереву Меркла . [1] : Раздел 3 Чтобы журнал считался работающим правильно, он должен:

  • Убедитесь, что каждый представленный сертификат или предварительный сертификат имеет действительную цепочку подписей, ведущую к доверенному корневому сертификату центра сертификации.
  • Отказаться в публикации сертификатов без этой действующей цепочки подписей.
  • Сохраните всю цепочку проверки от вновь принятого сертификата до корневого сертификата.
  • Предоставьте эту цепочку для аудита по запросу.

Журнал может принимать сертификаты, которые еще не полностью действительны, и сертификаты, срок действия которых истек.

Мониторы прозрачности сертификатов [ править ]

Мониторы действуют как клиенты для серверов журналов. Мониторы проверяют журналы, чтобы убедиться, что они работают правильно. Несогласованность используется, чтобы доказать, что журнал ведет себя некорректно, а подписи в структуре данных журнала (дерево Меркла) не позволяют журналу отрицать это неправильное поведение.

Аудиторы прозрачности сертификатов [ править ]

Аудиторы также действуют как клиенты серверов журналов. Аудиторы прозрачности сертификатов используют частичную информацию о журнале, чтобы сравнить журнал с другой частичной информацией, которую они имеют. [1] : Раздел 5.4

История [ править ]

В марте 2013 года Google запустил свой первый журнал прозрачности сертификатов. [6] В сентябре 2013 года DigiCert стал первым центром сертификации, внедрившим прозрачность сертификатов. [7]

В 2015 году Google Chrome начал требовать прозрачности сертификата для недавно выпущенных сертификатов расширенной проверки . [8] [9] Он начал требовать прозрачности сертификатов для всех сертификатов, недавно выпущенных Symantec с 1 июня 2016 года, после того, как было обнаружено, что они выпустили 187 сертификатов без ведома владельцев доменов. [10] [11] С апреля 2018 года это требование распространяется на все сертификаты. [12]

23 марта 2018 года Cloudflare анонсировала собственный CT под названием Nimbus . [13]

В мае 2019 года центр сертификации Let's Encrypt запустил собственный журнал CT под названием Oak. С февраля 2020 года он включен в утвержденные списки журналов и может использоваться всеми центрами сертификации, пользующимися всеобщим доверием. [14]

EJBCA , программная реализация центра сертификации, добавила поддержку для отправки сертификатов в журналы CT и встраивания возвращенных SCT в выпущенные сертификаты в апреле 2014 года .

Инструменты для проверки журналов КТ [ править ]

  • crt.sh от Sectigo
  • certstream.calidog.io
  • ct.cloudflare.com --- Город Меркл от Cloudflare

Ссылки [ править ]

  1. ^ a b c Лори, Бен ; Лэнгли, Адам; Каспер, Эмилия (июнь 2013 г.). Сертификат прозрачности . IETF . DOI : 10,17487 / RFC6962 . ISSN 2070-1721 . RFC 6962 .  CS1 maint: обескураженный параметр ( ссылка )
  2. Соломон, Бен (8 августа 2019 г.). «Введение в мониторинг прозрачности сертификатов» . Cloudflare . Архивировано из оригинала 8 августа 2019 года . Дата обращения 9 августа 2019 . Ах, прозрачность сертификата (CT). CT решает описанную мной проблему, делая все сертификаты общедоступными и легко проверяемыми. Когда центры сертификации выдают сертификаты, они должны отправлять сертификаты как минимум в два «общедоступных журнала». Это означает, что в совокупности журналы содержат важные данные обо всех доверенных сертификатах в Интернете.
  3. ^ Лори, Б. (2018-03-05). «Версия 2.0 прозрачности сертификата» . tools.ietf.org . Проверено 13 апреля 2021 .
  4. ^ Вызов, Эшли (2015-06-03). «Прозрачность сертификатов: часто задаваемые вопросы | Блог DigiCert» . DigiCert . Проверено 13 апреля 2021 .
  5. Брайт, Питер (30 августа 2011 г.). «Другой поддельный сертификат вызывает те же старые вопросы о центрах сертификации» . Ars Technica . Проверено 10 февраля 2018 .
  6. ^ «Известные журналы - прозрачность сертификата» . certificate-transparency.org . Проверено 31 декабря 2015 .
  7. ^ «DigiCert объявляет о поддержке прозрачности сертификатов» . Темное чтение. 2013-09-24 . Проверено 31 октября 2018 . CS1 maint: обескураженный параметр ( ссылка )
  8. ^ Вудфилд, Мегги (5 декабря 2014). «Требуется прозрачность сертификата, чтобы сертификаты EV отображали зеленую адресную строку в Chrome» . Блог DigiCert . DigiCert .
  9. Лори, Бен (4 февраля 2014 г.). «Обновленная прозрачность сертификата + план расширенной проверки» . [email protected] (список рассылки). Архивировано 30 марта 2014 года.
  10. ^ «Symantec Certificate Transparency (CT) для сертификатов, выпущенных до 1 июня 2016 г.» . Центр знаний Symantec . Symantec . 9 июня 2016 года Архивировано из оригинала на 5 октября 2016 года . Проверено 22 сентября 2016 года .
  11. ^ Sleevi, Райан (28 октября 2015). «Обеспечение безопасности цифровых сертификатов» . Блог по безопасности Google .
  12. О'Брайен, Девон (7 февраля 2018 г.). «Обеспечение прозрачности сертификатов в Google Chrome» . Группы Google . Проверено 18 декабря 2019 . CS1 maint: обескураженный параметр ( ссылка )
  13. Салливан, Ник (23 марта 2018 г.). «Введение в прозрачность сертификатов и Nimbus» . Cloudflare . Архивировано из оригинала 23 марта 2018 года . Дата обращения 9 августа 2019 .
  14. ^ «Представляем Oak, бесплатный и открытый протокол прозрачности сертификатов - Let's Encrypt» . letsencrypt.org . Проверено 13 апреля 2021 .

Внешние ссылки [ править ]

  • Официальный веб-сайт
  • RFC  6962 - Инженерная группа Интернета
  • crt.sh , поисковая система журнала прозрачности сертификатов
  • Thawte CryptoReport [ постоянная мертвая ссылка ] , поиск в журналах прозрачности сертификата
  • Symantec CryptoReport , поиск в журналах прозрачности сертификатов
  • Отчет о прозрачности сертификатов Google
  • Мониторинг прозрачности сертификатов через Facebook