关注网络安全
和行业未来

四月行业新闻回顾

本月大事件:证书透明记录成强制

从4月30日开始,Chrome浏览器将要求所有新证书符合证书透明度。 这是证书生态系统中的一项重大变化,已经准备了好几年。 证书透明度在许多证书颁发机构发现错误的案例中已经发挥了重要作用。

证书透明度的核心思想相对简单:所有公开发布的证书都存储在公共附加日志中。 这些允许每个人检查是否已颁发其域名的非法证书。 为了显示证书已经被记录,在TLS握手期间必须提供两个所谓的签名证书时间戳(SCT)。 SCT是来自日志的已签署声明,用来确认已提交证书。

交付SCT有不同的方式,但最常见的方法是直接将其添加到证书本身。大多数证书颁发机构会自动执行此操作,因此网站操作员无需手动执行任何操作。由于CA在颁发证书之前不能记录证书,因此这些嵌入证书的SCT需要颁发的证书须包含特殊的扩展名,并且与最终证书相同,除非它缺少SCT。

那么问题来了,是不是只记录预证书就行,而不用包括最终的证书呢?Let's Encrypt最初决定只记录预证书,但如今也开始尝试记录最终证书

尽管证书透明度日志记录现在是新证书的一项要求,但流氓或受感染的CA仍然可以通过回溯来创建未记录的证书。 这可以通过使用Expect-CT标头来防止。

Hardenize服务添加了对证书透明度合规性的检查

短新闻

稿源: feisty duck

评论 抢沙发