什么是证书透明度及其工作原理?

最后更新于 Dionisie Gitlan
Certificate Transparency

并非一切都像互联网上显示的那样安全,但证书透明度(CT)提供了一线希望。 您很可能在不知不觉中与 CT 进行了交互,尤其是如果您收到过有关网站安全证书的警告。 那么, 什么是证书透明度,它与整个敏感数据的保护有何关系?

该系统旨在防止签发欺诈性 SSL 证书,其工作原理是在一个公开、可验证的记录中记录和监控所有证书。 随着我们的深入探讨,你将会发现这一机制是如何增强网络安全性并让证书颁发机构承担责任的。

目录

  1. 什么是证书透明度?
  2. 证书透明度如何运作?
  3. 证书透明度的好处
  4. 什么是预证书,它们为什么有用?

什么是证书透明度?

证书透明度是一个公共日志,旨在通过允许任何人实时审核证书来提高SSL/TLS 证书生态系统的安全性。 CT 可防止签发恶意证书,并检测任何错误签发的证书。 它提供了一个对证书框架进行持续、外部监控的机制,从而大大降低了证书误签发而不被察觉的风险。

证书透明度的核心是对已签发的 SSL/TLS 证书维护全面的只允许附加的日志(只允许添加、不允许更改或删除的日志)。 这些证书透明度日志可公开访问和验证,确保任何实体都能随时检查证书。 这种问责制有助于识别未经授权的证书,减少可能危及安全通信的中间人(MITM)攻击

证书透明度如何运作?

证书透明度要求证书颁发机构向 CT 日志提交新颁发的证书。 这些公共日志是防篡改的,这意味着任何试图修改、删除或追溯条目的行为都会被轻易发现。 每个日志条目都有时间戳和加密签名,为监控证书签发提供了一种安全、可验证的方式。

证书一旦被记录,就会收到一个签名证书时间戳(SCT),这是证书被记录在日志中的证明。 然后,网络服务器使用这些 SCT 向连接的客户端证明,它们的证书是透明的,是公共记录的一部分。 客户端(如网络浏览器)可以根据日志验证这些 SCT,确保证书的合法性,确保证书不是恶意或错误签发的。

以下是 CT 功能的快速、逐步概述:

  • 创建前置证书:证书颁发机构(CA)会生成一个前置证书,其中包含与未来 SSL/TLS 证书相同的信息
  • 提交日志服务器:将前置证书发送到受信任的日志服务器。
  • 日志服务器的响应:证书透明度日志服务器接受预证书,并以 “签名证书时间戳(SCT)”作为回应。 该 SCT 实质上是 CT 日志服务器的一个承诺,即在一个指定的时间段内将证书添加到其日志中,该时间段称为最大合并延迟 (MMD)。
  • 最大合并延迟 (MMD)最大合并延迟为证书添加到日志中设定一个合理的时间段,最长为 24 小时。 不过,数字证书管理系统不会延迟或影响数字证书的签发或使用。
  • 与 SSL 证书集成:在 SSL 证书的整个生命周期中,SCT 都伴随着 SSL 证书,可以集成到证书正文中,也可以通过其他方式呈现。
  • 证书发布信号:SSL/TLS 证书中出现 SCT 标志着证书已发布供审查。
  • SCT 交付方法:Certificate Transparency 使用证书交付 SCT 的一般方法有三种:
    • x509v3 扩展(服务器操作员无需额外操作)
    • TLS 扩展(由站点操作员在TLS 握手期间使用,以便将 SCT 传递给客户端)
    • OCSP Stapling(涉及服务器在 TLS 握手过程中直接向客户端提供 SCT)。

有关更深入的解释,请查阅CT 官方文档

证书透明度的好处

证书透明度提高了网络安全性,使网站运营商和用户都能从中受益。 通过强制记录公共证书日志,CT 增强了证书交付的安全性和透明度,防止出现未经授权的证书并快速发现问题。 这种积极主动的方法增强了在线互动的信心,提高了互联网安全标准。 下面列出了 CT 的四大优势:

  1. 更好的安全性:证书透明度要求公开记录证书,从而使在线活动更安全。 CT 阻止未经授权的证书分发,并有助于发现任何错误签发的证书,使敏感数据的传输更能抵御潜在风险。
  2. 更便捷的证书管理:CT 允许域名所有者检查其证书是否被正确记录并对公众可见,从而确保其网站的安全性。 这种透明度还有助于快速识别假证书,保护网站及其用户。
  3. 为用户提供更多信任:证书透明度意味着用户更有信心在网上共享其敏感信息。 严格的证书签发流程和欺诈防范措施不给网络窃贼留下任何可乘之机。
  4. 更高的互联网安全标准:CT 提高了互联网的整体安全性。 通过揭示漏洞和鼓励修复,它推动了更好的证书颁发实践。 因此,稳定、可预测的数据保护环境让每个人都受益,使企业和个人的在线活动更加安全。

什么是预证书,它们为什么有用?

现在,让我们回到前证书上来,对其进行更深入的剖析,这样你就不会把它们误认为是 CA 为特定域名签发的原始SSL 证书了。

预证书是证书最终签发前的初步验证步骤,可确保证书的合法性并符合证书透明度的目标。 这些预证书是将公开发放给网站的最终证书的草案版本,为证书发放过程提供了额外的审查和透明度。

您可能会问,为什么需要预先证明? 它们就像网络安全威胁的预警系统。 当 CA 向证书透明度日志发送预证书时,就像举起了一面旗帜,让所有人都能看到。 它有助于在签发证书之前发现任何可疑或未经授权的证书,从而使我们所有人的网络更加安全。

但是,预证书的作用不仅仅是警告我们。 这也让我们有机会反复检查。 一旦记录了预认证,机器和人都会对其进行检查。 这样,我们就能迅速解决任何错误或问题,阻止不良证书的传播。

简而言之,前置证书为我们提供了一种清晰、可验证和主动的方式来处理 SSL 证书,确保它们的合法性,使我们的在线交流更加安全。 由于有了预证书,证书透明度在保护各种网络之间传输的敏感数据方面发挥了作用。

底线

总之,”证书透明度”(Certificate Transparency,CT)提供了一个开放式框架,用于监控和审计向网站签发的 SSL 证书,从而大大提高了在线安全性。 通过利用公共日志,CT 使任何人都能及时发现误发或恶意证书,防范 MITM 攻击等常见威胁。

预证书在这个生态系统中至关重要,它提供了一种在证书签发前对其进行审查的机制,确保网络通信具有更高的信任度和可靠性。

立即订购 SSL 证书, 可节省 10% 的费用!

快速发行, 强大加密, 99.99% 的浏览器信任度, 专业支持和 25 天退款保证. 优惠券代码 SAVE10

立即节省 10%!
撰写人

经验丰富的内容撰稿人, 擅长 SSL 证书. 将复杂的网络安全主题转化为清晰, 引人入胜的内容. 通过有影响力的叙述, 为提高数字安全作出贡献.

相关帖子
什么是 SSL 中的 CA 包?
根证书和中间证书–有何区别?
什么是证书颁发机构?证书颁发机构如何工作?
什么是 CAA 记录,如何使用?
什么是 SSL 证书保修及其工作原理?