憑證透明度(英語:Certificate Transparency,簡稱CT)也稱憑證透明憑證透明化,是一個實驗性的IETF開源標準[1]開源框架,目的是監測和審計數位憑證。透過憑證紀錄檔、監控和審計系統,憑證透明度使網站使用者和域名持有者可以辨識不當或惡意簽發的憑證,以及辨識數位憑證認證機構(CA)的行為。

憑證透明度的工作始於 2011 年,當時數位憑證授權單位DigiNotar受到攻擊並開始頒發惡意憑證。至2021年,公開信任的TLS憑證必須強制實現憑證透明度,但其他類型的憑證則未有相應要求。[2]

背景

編輯

當前的數位憑證管理系統中的缺陷正使欺詐憑證導致的安全問題和隱私洩露風險變得日益明顯。

2011年,荷蘭的數位憑證機構DigiNotar英語DigiNotar入侵者利用其基礎設施成功建立了超過500個欺詐性數位憑證後申請破產[3]

Ben Laurie英語Ben Laurie和Adam Langley構思了憑證透明度,並將其框架實現為開源專案。

優點

編輯

數位憑證管理的問題之一是,欺詐性憑證需要很長時間才能被瀏覽器提供商發現、報告和復原。憑證透明度有助於避免駭客在未經網域持有者知情下為網域頒發憑證。

憑證透明度不需要側信道通訊來驗證憑證,這些由線上憑證狀態協定(OCSP)或Convergence英語Convergence (SSL)等技術完成。憑證透明度也不需要信任第三方。

憑證透明度紀錄檔

編輯

憑證透明度依賴於可驗證的憑證透明度紀錄檔。紀錄檔會將新的憑證添加到不斷增長的雜湊樹中。[1]:Section 3 為正確完成該行為,紀錄檔必須:

  • 驗證每個提交的憑證或預憑證是否有有效的簽章鏈,鏈條鏈向受信任的根憑證頒發機構憑證。
  • 拒絕發布無有效簽章鏈的憑證。
  • 儲存新接受的可鏈向根憑證的憑證。
  • 根據請求提供此鏈的審計。

紀錄檔可以接受尚未完全生效或者已過期的憑證。

憑證透明度監視器

編輯

監視器是作為紀錄檔伺服器的客戶端,檢查紀錄檔以確保其行為正確。如發生不一致則表示紀錄檔沒有正確執行。紀錄檔的資料結構雜湊樹(Merkle tree)上的簽章防止紀錄檔否認不良行為。

憑證透明度審計器

編輯

審計器也作為紀錄檔伺服器的客戶端執行。憑證透明度審計器使用有關紀錄檔的部分資訊驗證紀錄檔及其他部分的資訊。[1]:Section 5.4

憑證頒發機構實現

編輯

2013年3月,Google推出其首個憑證透明度紀錄檔。[4] 2013年9月,DigiCert成為首個實現憑證透明度的數位憑證認證機構[5]

Google Chrome在2015年開始要求新頒發的擴充驗證憑證(EV)提供「憑證透明度」。[6][7]因為被發現有187個憑證在未經域名所有者知曉的情況下被頒發,賽門鐵克(Symantec)被要求自2016年6月1日起新頒發的所有憑證必須配備憑證透明度。[8][9]

2017年4月,Google將原定於2017年10月要求Chrome將要求所有SSL憑證支援憑證透明度(CT)的日期推遲至2018年4月,以給行業更多準備時間[10]

參考資料

編輯
  1. ^ 1.0 1.1 1.2 Laurie. RFC 6962 - Certificate Transparency. The Internet Engineering Task Force. June 2013 [2013-11-20]. (原始內容存檔於2017-09-25). 
  2. ^ Call, Ashley. Certificate Transparency: FAQs | DigiCert Blog. DigiCert. 2015-06-03 [2021-04-13]. (原始內容存檔於2022-05-20) (美國英語). 
  3. ^ Kim Zetter. DigiNotar Files for Bankruptcy in Wake of Devastating Hack. Wired. 2011-09-11 [2014-11-14]. (原始內容存檔於2014-11-28). 
  4. ^ Known Logs - Certificate Transparency. [2016-12-06]. (原始內容存檔於2016-12-16). 
  5. ^ DigiCert Announces Certificate Transparency Support. Dark Reading. [2013-11-12]. (原始內容存檔於2013-10-10). 
  6. ^ Woodfield, Meggie. Certificate Transparency Required for EV Certificates to Show Green Address Bar in Chrome. DigiCert Blog. DigiCert. December 5, 2014 [2016-12-06]. (原始內容存檔於2016-10-13). 
  7. ^ Laurie, Ben. Updated Certificate Transparency + Extended Validation plan. cabfpub (郵寄清單). February 4, 2014 [2016-12-06]. (原始內容存檔於2014-03-30). 
  8. ^ Symantec Certificate Transparency (CT) for certificates issued before June 1, 2016. Symantec Knowledge Center. Symantec. June 9, 2016 [2016-12-06]. (原始內容存檔於2016-10-05). 
  9. ^ Sleevi, Ryan. Sustaining Digital Certificate Security. Google Security Blog. Google. October 28, 2015 [2016-12-06]. (原始內容存檔於2016-12-07). 
  10. ^ Chrome将“强制证书透明度要求”推迟至2018年. 沃通. 2017-05-15 [2017-05-26]. (原始內容存檔於2021-05-19). 

外部連結

編輯