支持证书透明度,防止合法SSL证书被恶意使用
使用SSL证书实现HTTPS传输加密及服务器身份认证,已经成为防范数据泄露、流量劫持、钓鱼欺诈等安全问题的重要手段。近年来,由于黑客攻击、失误操作等问题,使得合法SSL证书出现恶意或错误使用的情况,谷歌主导的证书透明度(Certificate Transparency)项目,就是为了加强SSL证书的公开透明,强化SSL证书的可信度。本文将重点介绍SSL证书的信任机制,以及证书透明度(Certificate Transparency)如何防止SSL证书被恶意或错误使用。
SSL证书的信任机制
HTTPS 网站的身份认证是通过校验证书信任链来完成的,浏览器从网站SSL证书开始,逐层校验上一级父证书,直至校验到受信任的顶级根证书,从而判断网站SSL证书的颁发机构及其认证信息是否可信。顶级根证书是由受信任的证书颁发机构持有,预置在浏览器和操作系统的“受信任的根证书颁发机构”列表中,作为SSL证书信任链校验的重要依据。
证书颁发机构(CA)负责认证签发SSL证书,管理SSL证书整个生命周期,为避免黑客攻击、失误签发以及CA违规操作行为,国际标准组织从安全审计、操作规程等多方面不断完善对CA机构的严格监管。证书透明度(Certificate Transparency)就是谷歌主导的用于记录、审计和监控证书颁发机构所颁发的数字证书的项目。
什么是证书透明度(Certificate Transparency)
Certificate Transparency,直译为“证书透明度”,简称为“CT”,由谷歌主导并由IETF 标准化为RFC 6962。Certificate Transparency是一个开放的审计和监控系统,要求证书颁发机构公开宣布其颁发的每一个SSL证书,将其记录到证书日志中,可以让任何域名所有者或者证书颁发机构,确定证书是否被错误签发或者恶意使用,从而保障证书签发流程安全,强化SSL证书的可信度及HTTPS网站的安全性。
证书透明度(Certificate Transparency)的工作原理
Certificate Transparency整套系统由三部分组成:
1)Certificate Logs证书日志;
2)Certificate Monitors证书监视;
3)Certificate Auditors证书审计。
CT系统是CA设施的一种补充,使之更透明、更实时。CA创建预签证书(pre-certificate)提交到谷歌认证的CT Log Server(日志服务器),日志服务器返回一个"已签证书时间戳"(Signed Certificate Timestamp),称为SCT信息。SCT信息被嵌入到正式签发的证书中,或通过TLS模式部署到Web服务器中。简单地说:就是为合法签发的证书做了一个白名单,谷歌浏览器在验证证书的同时,也会去查看这个证书是不是在白名单里面,如果不在的话,则不会显示绿色地址栏及证书透明度信息。
证书透明度的三种启用方式
1)证书内嵌
CA 先预签证书,并将证书提交到CT Log 服务器得到SCT 信息,然后CA 将SCT数据嵌入到正式签发的证书中,这样就得到了一个含有SCT 扩展的证书。
http://img.mp.itc.cn/upload/20160601/654826cb2d544b5aa2226185b129d30c_th.jpg
2)TLS扩展
证书所有者也可以自己提交证书给CT Log 服务器,得到SCT 并存起来。然后通过配置Web Server,使其能在TLS 握手阶段的Server Hello 响应中启用"已签证书时间戳"(Signed Certificate Timestamp)扩展,传递SCT 信息。
http://img.mp.itc.cn/upload/20160601/ffb19149367c496dbd947001314461ec_th.jpg
3)OCSP扩展
还有一种方法,CA 按照普通流程完成证书签发后,再将证书提交到CT Log 服务器得到SCT,然后改造OCSP(Online Certificate Status Protocol,在线证书状态协议)服务,将SCT 信息包含到OCSP 响应中。服务端启用OCSP Stapling(OCSP 封套)后,就可以在证书链中包含证书的OCSP 查询结果,其中就包含SCT 信息。
证书透明度查询工具
任何证书所有者及颁发机构,可以使用谷歌的证书透明度查询工具https://www.google.com/transparencyreport/https/ct/ 确定自己的证书是否被错误签发或者恶意使用。
证书透明度的实施有助于增强用户的信心,确保网站能够及时发现恶意或错误签发的SSL证书,防止身份仿冒及中间人攻击,提升网站可信度及站点安全,希望尚未支持CT的SSL证书用户,及时升级支持CT技术。
SSL证书的信任机制
HTTPS 网站的身份认证是通过校验证书信任链来完成的,浏览器从网站SSL证书开始,逐层校验上一级父证书,直至校验到受信任的顶级根证书,从而判断网站SSL证书的颁发机构及其认证信息是否可信。顶级根证书是由受信任的证书颁发机构持有,预置在浏览器和操作系统的“受信任的根证书颁发机构”列表中,作为SSL证书信任链校验的重要依据。
证书颁发机构(CA)负责认证签发SSL证书,管理SSL证书整个生命周期,为避免黑客攻击、失误签发以及CA违规操作行为,国际标准组织从安全审计、操作规程等多方面不断完善对CA机构的严格监管。证书透明度(Certificate Transparency)就是谷歌主导的用于记录、审计和监控证书颁发机构所颁发的数字证书的项目。
什么是证书透明度(Certificate Transparency)
Certificate Transparency,直译为“证书透明度”,简称为“CT”,由谷歌主导并由IETF 标准化为RFC 6962。Certificate Transparency是一个开放的审计和监控系统,要求证书颁发机构公开宣布其颁发的每一个SSL证书,将其记录到证书日志中,可以让任何域名所有者或者证书颁发机构,确定证书是否被错误签发或者恶意使用,从而保障证书签发流程安全,强化SSL证书的可信度及HTTPS网站的安全性。
证书透明度(Certificate Transparency)的工作原理
Certificate Transparency整套系统由三部分组成:
1)Certificate Logs证书日志;
2)Certificate Monitors证书监视;
3)Certificate Auditors证书审计。
CT系统是CA设施的一种补充,使之更透明、更实时。CA创建预签证书(pre-certificate)提交到谷歌认证的CT Log Server(日志服务器),日志服务器返回一个"已签证书时间戳"(Signed Certificate Timestamp),称为SCT信息。SCT信息被嵌入到正式签发的证书中,或通过TLS模式部署到Web服务器中。简单地说:就是为合法签发的证书做了一个白名单,谷歌浏览器在验证证书的同时,也会去查看这个证书是不是在白名单里面,如果不在的话,则不会显示绿色地址栏及证书透明度信息。
证书透明度的三种启用方式
1)证书内嵌
CA 先预签证书,并将证书提交到CT Log 服务器得到SCT 信息,然后CA 将SCT数据嵌入到正式签发的证书中,这样就得到了一个含有SCT 扩展的证书。
http://img.mp.itc.cn/upload/20160601/654826cb2d544b5aa2226185b129d30c_th.jpg
2)TLS扩展
证书所有者也可以自己提交证书给CT Log 服务器,得到SCT 并存起来。然后通过配置Web Server,使其能在TLS 握手阶段的Server Hello 响应中启用"已签证书时间戳"(Signed Certificate Timestamp)扩展,传递SCT 信息。
http://img.mp.itc.cn/upload/20160601/ffb19149367c496dbd947001314461ec_th.jpg
3)OCSP扩展
还有一种方法,CA 按照普通流程完成证书签发后,再将证书提交到CT Log 服务器得到SCT,然后改造OCSP(Online Certificate Status Protocol,在线证书状态协议)服务,将SCT 信息包含到OCSP 响应中。服务端启用OCSP Stapling(OCSP 封套)后,就可以在证书链中包含证书的OCSP 查询结果,其中就包含SCT 信息。
证书透明度查询工具
任何证书所有者及颁发机构,可以使用谷歌的证书透明度查询工具https://www.google.com/transparencyreport/https/ct/ 确定自己的证书是否被错误签发或者恶意使用。
证书透明度的实施有助于增强用户的信心,确保网站能够及时发现恶意或错误签发的SSL证书,防止身份仿冒及中间人攻击,提升网站可信度及站点安全,希望尚未支持CT的SSL证书用户,及时升级支持CT技术。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
邮箱投递
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平开始对巴西进行国事访问 7960750
- 2 医院CT等收费将执行新规 7949441
- 3 幼师教唆学生掌掴同学?通报来了 7820107
- 4 “互联网之光”闪耀乌镇 7764897
- 5 29岁抗癌博主“一只羊吖”去世 7647196
- 6 钟南山建议40岁以上每年查肺功能 7588972
- 7 俄传奇飞行员在广州扫货 7418856
- 8 耿爽当面反击美国代表 7352856
- 9 苹果要彻底封杀3.5mm接口 7214026
- 10 一图看中国30年“上网”史略 7112046
