Certificate Transparency SSL證書透明Certificate Transparency是什么Certificate Transparency（后面簡稱CT ）是google

Certificate Transparency SSL證書透明

Certificate Transparency是什么

Certificate Transparency（后面簡稱CT ）是google 提倡的為了提高SSL/TLS上更高信賴度的新技術?，F(xiàn)在已被RFC 化（RFC6962），用于防止證書的誤發(fā)行的技術而備受注目。

CT 是起著每當CA 機構簽發(fā)證書，將所有的證書的簽發(fā)行為都記錄到審計日志作用的。主要是網(wǎng)站運營者，域名管理者之類的可以通過這個審計日志服務器來確認自己的域名對應的證書有無被其他CA 機構簽發(fā)。以此來防止非正常簽發(fā)的可信證書被他人濫用。 雖然CT 看起來僅僅起著提高證書的可信賴度，但并不意味著沒有CT 的其他的證書檢測不可信。

CT 的基本原理

CA 一旦向審計日志服務器提供證書，審計日志服務器就返回Signed Certificate

Timestamp （以下簡稱SCT ，證書簽署時間戳）。SCT

是審計日志服務器在特定的時間內

（Maximum Merge Delay（MMD ）稱為最大延遲周期）用于保證證書數(shù)據(jù)格式化的時間戳信息。Web 服務器之類的tls 服務器將從審計日記里取得SCT ，然后與證書一起在瀏覽器之類的tls 客戶端里給出提示。這樣，Tls 客戶端就會根據(jù)獲取的證書和SCT 來確認審計日志中是否有該證書的記錄。

網(wǎng)站使用者受到的關于CT 的影響

Google Chrome已經有加入CT 的檢測功能，可以表示出SSL 服務器證書是否符合CT 標準（驗證的話等于登錄）。如果是未被證實在審計日志上有記錄的證書的話，則會提示“服務器未提供任何CT 信息”。

未增加

CT

增加了CT

CT 的發(fā)展史

Google 不久前宣布了chrome 瀏覽器對CT 的兼容路線。

有效期超過2015年1月的全部EV SSL證書（包含已發(fā)售的）的信息，

有必要至少到審

計日志去注冊一下，用以加入白名單。

Google 公司在2015年1月1日后，已發(fā)行的不帶SCT 的EV SSL證書將做成一個白名單。

2015年2月1日以后，chrome 將會對那些沒在白名單上注冊且沒注冊CT 的EV SSL證書不會有EV 的固有表現(xiàn)（即不在綠色地址欄里顯示組織名）。

另外：3月30日后，滿足以下條件的話，chrome 將使EV SSL證書不再像之前的綠色地址欄中顯示公司名，和普通的ssl 服務器證書相同的顯示。但其它的瀏覽器中能正常顯示EV 效果。

條件1：2015年1月1日以后發(fā)行的

條件2：沒有注冊CT

條件3：google chrome41以后版本

所以，為了EV SSL證書能在綠色地址欄里正常展現(xiàn)公司名，有必要注冊下CT 。賽門鐵克也在2014年12月提供對應的是否注冊CT 的可選項（默認是帶CT ）。

出品人：亞洲誠信