Сертификат прозрачности - Certificate Transparency

Сертификат прозрачности (CT) является Интернет-безопасность стандарт и Открытый исходный код рамки для мониторинга и аудита цифровые сертификаты.[1] Стандарт создает систему публичных журналы которые стремятся в конечном итоге записать все сертификаты, выданные общественно доверенными центры сертификации, позволяя эффективно идентифицировать ошибочно или злонамеренно выданные сертификаты.[2]

Фон

В 2011 году реселлер центра сертификации Комодо атаковали, и центр сертификации DigiNotar был скомпрометированный,[3] привлечение внимания к существующим недостаткам в экосистеме центра сертификации и ускорение работы над различными механизмами предотвращения или отслеживания несанкционированной выдачи сертификатов. Бен Лори, Адам Лэнгли и Эмилия Каспер начали работу над Открытый исходный код рамки для борьбы с этими проблемами в том же году. Они представили первый проект стандарта как IETF Интернет-проект в 2012 году под кодовым названием «Солнечный свет».

Преимущества

Одна из проблем управления цифровыми сертификатами заключается в том, что производители браузеров долго обнаруживают, сообщают и отзывают поддельные сертификаты. Прозрачность сертификата помогла бы, сделав невозможным выдачу сертификата для домена без ведома владельца домена.

Прозрачность сертификата не требует связь по побочному каналу для проверки сертификатов, как и некоторые конкурирующие технологии, такие как Протокол статуса онлайн-сертификата (OCSP) и Конвергенция. Прозрачность сертификатов также работает без необходимости доверять третьей стороне.

Журналы прозрачности сертификатов

Прозрачность сертификата зависит от проверяемых журналов прозрачности сертификата. Журнал добавляет новые сертификаты к постоянно растущему Хеш-дерево Меркла.[1]:Раздел 3Чтобы вести себя правильно, журнал должен:

  • Убедитесь, что каждый представленный сертификат или предварительный сертификат имеет действительную цепочку подписей, ведущую к доверенному корневому сертификату центра сертификации.
  • Отказаться в публикации сертификатов без этой действующей цепочки подписей.
  • Сохраните всю цепочку проверки от вновь принятого сертификата до корневого сертификата.
  • Предоставьте эту цепочку для аудита по запросу.

Журнал может принимать сертификаты, которые еще не полностью действительны, и сертификаты, срок действия которых истек.

Мониторы прозрачности сертификатов

Мониторы действуют как клиенты для серверов журналов. Мониторы проверяют журналы, чтобы убедиться, что они работают правильно. Несогласованность используется, чтобы доказать, что журнал ведет себя некорректно, а подписи в структуре данных журнала (дерево Меркла) не позволяют журналу отрицать это неправильное поведение.

Сертификат прозрачности аудиторов

Аудиторы также действуют как клиенты серверов журналов. Аудиторы прозрачности сертификатов используют частичную информацию о журнале, чтобы сравнить журнал с другой частичной информацией, которую они имеют.[1]:Раздел 5.4

Внедрение центра сертификации

Google запустил свой первый журнал прозрачности сертификатов в марте 2013 года.[4] В сентябре 2013 г. DigiCert стал первым центр сертификации для реализации прозрачности сертификатов.[5]

Гугл Хром начали требовать прозрачности сертификатов для недавно выпущенных Сертификаты расширенной проверки в 2015 году.[6][7] Он начал требовать прозрачности сертификатов для всех сертификатов, недавно выпущенных Symantec с 1 июня 2016 года, после того как было установлено, что они выдали 187 сертификатов без ведома владельцев доменов.[8][9] С апреля 2018 года это требование распространено на все сертификаты.[10]

Cloudflare объявила о собственном CT под названием Нимбус 23 марта 2018 г.[11]

EJBCA, программная реализация центра сертификации добавила поддержку для отправки сертификатов в журналы CT и встраивания возвращенных SCT в выданные сертификаты в Апрель 2014 г..

Рекомендации

  1. ^ а б c Лори, Бен; Лэнгли, Адам; Каспер, Эмилия (июнь 2013 г.). Сертификат прозрачности. IETF. Дои:10.17487 / RFC6962. ISSN  2070-1721. RFC 6962.
  2. ^ Соломон, Бен (8 августа 2019 г.). «Введение в мониторинг прозрачности сертификатов». Cloudflare. Архивировано из оригинал 8 августа 2019 г.. Получено 9 августа 2019. Ах, прозрачность сертификата (CT). CT решает описанную мной проблему, делая все сертификаты общедоступными и легко проверяемыми. Когда центры сертификации выдают сертификаты, они должны отправлять сертификаты как минимум в два «общедоступных журнала». Это означает, что в совокупности журналы содержат важные данные обо всех доверенных сертификатах в Интернете.
  3. ^ Брайт, Питер (30 августа 2011 г.). «Другой поддельный сертификат вызывает те же старые вопросы о центрах сертификации». Ars Technica. Получено 2018-02-10.
  4. ^ «Известные журналы - прозрачность сертификата». certificate-transparency.org. Получено 2015-12-31.
  5. ^ «DigiCert объявляет о поддержке прозрачности сертификатов». Темное чтение. 2013-09-24. Получено 2018-10-31.
  6. ^ Вудфилд, Мегги (5 декабря 2014 г.). «Требуется прозрачность сертификата, чтобы сертификаты EV отображали зеленую адресную строку в Chrome». Блог DigiCert. DigiCert.
  7. ^ Лори, Бен (4 февраля 2014 г.). «Обновленная прозрачность сертификата + план расширенной проверки». [email protected] (Список рассылки). В архиве из оригинала от 30.03.2014.
  8. ^ «Symantec Certificate Transparency (CT) для сертификатов, выпущенных до 1 июня 2016 г.». Центр знаний Symantec. Symantec. 9 июня 2016 г. Архивировано с оригинал 5 октября 2016 г.. Получено 22 сентября, 2016.
  9. ^ Сливи, Райан (28 октября 2015 г.). «Обеспечение безопасности цифровых сертификатов». Блог по безопасности Google.
  10. ^ О'Брайен, Девон (7 февраля 2018 г.). "Обеспечение прозрачности сертификатов в Google Chrome". Группы Google. Получено 18 декабря 2019.
  11. ^ Салливан, Ник (23 марта 2018 г.). «Введение в прозрачность сертификатов и Nimbus». Cloudflare. Архивировано из оригинал 23 марта 2018 г.. Получено 9 августа 2019.

внешняя ссылка