【学习笔记】SSL/TLS证书安全机制之证书透明
1、概念
CT - Certificate Transparency,证书透明
2、Trying to Solve
如果意外的 CA 为我们的域名颁发证书,我们是不可见,这就是证书透明(CT)要解决的问题
3、How CT Works
- 任何CA机构颁发的所有证书的公共登记处(Public registries)
- Decentralized(分散化)- 多个登记处,多个组织
- Append Only(只能附加)- 条目无法删除
- Cryptographically assured(加密保证)- Merkle Hash Tree(默克尔哈希树)
- 一旦Public registries建立起来,Web Server操作员就能够轮询证书注册表(certificate registry)
- 搜索以其名义颁发的所有证书(包括请求和重颁发的证书)
- 确认没有颁发虚假证书
- Web Browsers
- 只接受公共注册表中的证书
4、deeper...
- 证书透明中的3个新角色
- Operators(操作员)- 维护所有已颁发证书的默克尔哈希树(MHTs)
- Monitors(监控)- 验证并聚合来自各个操作员的默克尔哈希树
- Auditors(审计)- 验证单个条目和默克尔哈希树的一致性
- SCT(Signed Certificate Timestamp,签名证书时间戳)
- 证明/承诺证书将被添加到公共注册表
- 由日志操作员(Log Operators)签名(意味着,如果我们信任日志操作员,我们就信任SCT)
- Monitors & Auditors 验证证书确实被添加到注册表中
- Web Browsers(网络浏览器)要求查看每个证书的一个或多个SCTs
- 3种方法:TLS extension,OCSP / Stapling,x509v3 Extension
参考文献
1、网站:Practical Networking.net:Practical TLS