谷歌和Mozilla已经宣布了开始强制执行证书透明度的计划。
6月5日,苹果公司在WWDC大会上发布重要声明:从10月15日起,所有SSL/TLS证书必须在公众可访问的证书透明度(CT)日志中进行记录,才能受到Safari浏览器的信任。
在此声明发布之前,谷歌和Mozilla都已经在最近几个月中宣布了证书透明度要求。该变化将在Safari浏览器以后的一次更新中体现出来。之前只有扩展验证SSL证书才被要求进行记录。
苹果公司新的证书透明度政策如下
我们的政策要求至少有两个由CT日志签发的签名证书时间戳(SCT),而该日志既可以是曾经批准的,也可以是在检查时在当前批准的:
- 至少有两个SCT是由当前批准的CT日志签发,并且其中一个通过TLS扩展或OCSP Stapling(TLS证书状态查询扩展)提供;或:
- 至少有一个嵌入式SCT是由当前批准的日志签发。
什么是证书透明度?
你可以在互联网上找到证书透明度的完整说明,但如果你想要的是简短的版本,那么开始罗。谷歌第一个开发了证书透明性背后的系统,从而(很明显)成为了该领域中的领导者。这并不是很复杂,因为当证书被签发时,它都必须在一个或多个CT日志中进行记录。这些日志是公开的,所以任何研究人员、终端用户或监控组织都可以查看它们。这应该能够帮助各公司更快速地处理错误签发的问题,同时干扰也比较少。
许多不同的组织都在运行CT日志,包括谷歌、Mozilla和DigiCert。
如果证书没有恰当地进行记录,那么它就将会被认为是过期或错误配置的证书:出现一个严重的浏览器警告,并且不能连接页面。正如苹果公司的政策所指出的,证书必须被记录在至少两个日志中,以便获取信任,同时证书的寿命越长,就必须在更多的日志中进行记录。
尽管Safari只占到总的桌面浏览器市场份额的3%多一点,但它在移动浏览器市场的份额超过了四分之一(27%)。这一政策将对运行在iOS上的桌面和移动版本同时有效。
三人行
尽管谷歌是第三个宣布这一改变的主要的浏览器,但它是第二个给出了明确执行日期的浏览器。谷歌将从7月开始要求所有在4月30日之后签发的证书执行这一政策。Mozilla尚未给出一个明确的日期,尽管它也致力于CT。
苹果公司的政策将影响所有在10月15日之后签发的证书。因为它不具有追溯效力,所以大多数人将不需要担心这个,直到他们下一次进行更新时。同样需要指出的是,只有行业本身才需要担心证书透明度。终端用户不需要采取任何行动。大多数CA都已经开始有所行动,或者至少宣布开始记录所有SSL/TLS证书的计划。任何未进行记录的SSL/TLS证书都可能会被认为是错误签发的证书。
如果你有此倾向,脸书已经发布了一个对用户十分友好的、查看CT日志的方法。