Chrome从2017年10月起将要求遵守证书透明

effie| 2017-01-12 来源: SSL中国 SSL, 新闻, 网络安全 评论数( 1 )

Chrome 宣布 从2017年10月或之后签发的证书需要遵守它的证书透明度(Certificate Transparency) 政策才能被浏览器信任。

证书透明度是监视和审计数字证书的开放标准和开源框架,旨在防止伪造或错误签发的证书,增强浏览器安全和防止中间人攻击。要求证书透明度将是在线信任生态系统向前迈出的重要一步,Chrome团队认为到2017年10月证书透明度生态系统足以让这一要求成为一个可实现的现实目标。

什么是证书透明度(Certificate Transparency)

Certificate Transparency可以直译为证书透明度,由 Google 主导,并由 IETF 标准化为 RFC 6962。Certificate Transparency 的目标是提供一个开放的审计和监控系统,要求CA证书颁发机构公开宣布其颁发的每一个SSL证书,将其记录到证书日志中,可以让任何域名所有者或者 CA 证书颁发机构,确定证书是否被错误签发或者被恶意使用,从而提高 HTTPS 网站的安全性。

证书透明度(Certificate Transparency)的工作原理

Certificate Transparency整套系统由三部分组成:

  1. Certificate Logs证书日志;
  2. Certificate Monitors证书监视;
  3. Certificate Auditors证书审计。

即书所有者或者 CA 证书颁发机构都可以主动向 Certificate Logs 服务器提交证书,所有证书记录都会接受审计和监控。支持 CT 的浏览器(目前只有 Chrome)会根据 Certificate Logs 中证书状态,作出不同的反应。

CT系统是CA设施的一种补充,使之更透明、更实时,即CA创建预签证书(pre-certificate)提交到谷歌认证的CT Log Server(日志服务器),日志服务器返回一个"已签证书时间戳"(Signed Certificate Timestamp),称为SCT信息。SCT信息被嵌入到正式签发的证书中,或通过TLS模式部署到Web服务器中。完整的工作原理可以看官方文档:How Certificate Transparency Works。

简单地说:就是为合法签发的证书做了一个白名单,谷歌浏览器在验证证书的同时,也会去查看这个证书是不是在白名单里面,如果不在的话,则不会显示绿色地址栏及证书透明度信息。

(来源:Certificate Transparency Policy )

聚焦云计算,扫描二维码,关注HostUCan云计算

有好的文章希望站长之间帮助分享推广,猛戳这里我要投稿

您需要登录后才可以评论登录|注冊

全部评论(1)

2017-03-19 21:50
西安婚庆公司礼仪策划维纳斯公司是从事专业个性婚礼的知名公司,从事西安婚庆,西安庆典公司,西安婚庆司仪等一站式服务,多年的成功经验,得到了新人及客户的好评,以独特的策划、完美的设计以及优质的服务形成了公司的品牌。用我们的专注打造您精致的婚礼。http://www.xawns.com/ 结婚是幸福的,婚礼是繁琐的,新人是轻松的,我们是专业的。给我一个电话,还您一个惊喜,维纳斯期待与您相识!
[回复]
[取消回复]