本頁使用了標題或全文手工轉換

憑證透明度

維基百科,自由的百科全書
跳至導覽 跳至搜尋

憑證透明度英語:Certificate Transparency,簡稱CT)也稱憑證透明憑證透明化,它是一個實驗性的IETF開源標準[1]開源框架,目的是監測和審計數位憑證。通過憑證紀錄檔、監控和審計系統,憑證透明度使網站用戶和域名持有者可以辨識不當或惡意簽發的憑證,以及辨識數位憑證認證機構(CA)的作為。

背景[編輯]

目前的數位憑證管理系統中的缺陷正使欺詐憑證導致的安全問題與隱私泄露風險變得日益明顯。

2011年,荷蘭的數位憑證機構DigiNotar英語DigiNotar入侵者利用其基礎設施成功建立了超過500個欺詐性數位憑證後申請破產[2]

Ben Laurie英語Ben Laurie和Adam Langley構思了憑證透明度,並將一個框架實現開發為開源專案。

優點[編輯]

數位憑證管理的問題之一是,欺詐性憑證需要很長時間才能被瀏覽器提供商發現、報告和撤銷。憑證透明度有助於避免在瞞過域持有者的情況下為域頒發憑證。

憑證透明度不需要側信道通訊來驗證憑證,它們由線上憑證狀態協定(OCSP)或Convergence英語Convergence (SSL)等技術完成。憑證透明度也不需要信任第三方。

憑證透明度紀錄檔[編輯]

憑證透明度依賴於可驗證的憑證透明度紀錄檔。紀錄檔會添加新的憑證到不斷增長的Merkle雜湊樹英語Merkle tree[1]:Section 3 為正確完成該行為,紀錄檔必須:

  • 驗證每個提交的憑證或預憑證是否有有效的簽章鏈,鏈條鏈向受信任的根憑證頒發機構憑證。
  • 拒絕發布無有效簽章鏈的憑證。
  • 儲存新接受的可鏈向根憑證的憑證。
  • 根據請求提供此鏈的審計。

紀錄檔可以接受尚未完全生效或者已過期的憑證。

憑證透明度監視器[編輯]

監視器是作為紀錄檔伺服器的用戶端,檢查紀錄檔以確保行為正確。發生不一致則表示紀錄檔沒有正確執行。紀錄檔的資料結構(Merkle樹)上的簽章防止紀錄檔否認不良行為。

憑證透明度審計器[編輯]

審計器也作為紀錄檔伺服器的用戶端執行。憑證透明度審計器使用有關紀錄檔的部分資訊驗證紀錄檔及其他部分的資訊。[1]:Section 5.4

憑證頒發機構實現[編輯]

2013年3月,Google推出其首個憑證透明度紀錄檔。[3] 2013年9月,DigiCert成為首個實現憑證透明度的數位憑證認證機構[4]

Google Chrome在2015年開始要求新頒發的擴充驗證憑證(EV)提供「憑證透明度」。[5][6]因為被發現有187個憑證在未經域所有者知曉的情況下被頒發,賽門鐵克(Symantec)被要求自2016年6月1日起新頒發的所有憑證必須配備憑證透明度。[7][8]

2017年4月,Google將原定的2017年10月Chrome將要求所有SSL憑證支援憑證透明度(CT)的日期推遲至2018年4月,以給行業更多準備時間[9]

參考資料[編輯]

  1. ^ 1.0 1.1 1.2 Laurie. RFC 6962 - Certificate Transparency. The Internet Engineering Task Force. June 2013 [2013-11-20]. 
  2. ^ Kim Zetter. DigiNotar Files for Bankruptcy in Wake of Devastating Hack. Wired. 2011-09-11 [2014-11-14]. 
  3. ^ Known Logs - Certificate Transparency. 
  4. ^ DigiCert Announces Certificate Transparency Support. Dark Reading. [2013-11-12]. (原始內容存檔於October 10, 2013). 
  5. ^ Woodfield, Meggie. Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome. DigiCert Blog. DigiCert. December 5, 2014. 
  6. ^ Laurie, Ben. Updated Certificate Transparency + Extended Validation plan. cabfpub (郵寄清單). February 4, 2014. 
  7. ^ Symantec Certificate Transparency (CT) for certificates issued before June 1, 2016. Symantec Knowledge Center. Symantec. June 9, 2016. 
  8. ^ Sleevi, Ryan. Sustaining Digital Certificate Security. Google Security Blog. Google. October 28, 2015. 
  9. ^ Chrome將「強制證書透明度要求」推遲至2018年. 沃通. 2017-05-15 [2017-05-26]. 

外部連結[編輯]