【学习笔记】SSL/TLS证书安全机制之证书透明

1、概念

        CT - Certificate Transparency，证书透明

2、Trying to Solve

        如果意外的 CA 为我们的域名颁发证书，我们是不可见，这就是证书透明（CT）要解决的问题

3、How CT Works

• 任何CA机构颁发的所有证书的公共登记处（Public registries）
  • Decentralized（分散化）- 多个登记处，多个组织
  • Append Only（只能附加）- 条目无法删除
  • Cryptographically assured（加密保证）- Merkle Hash Tree（默克尔哈希树）
• 一旦Public registries建立起来，Web Server操作员就能够轮询证书注册表（certificate registry）
  • 搜索以其名义颁发的所有证书（包括请求和重颁发的证书）
  • 确认没有颁发虚假证书
• Web Browsers
  • 只接受公共注册表中的证书

4、deeper...

• 证书透明中的3个新角色
  • Operators（操作员）- 维护所有已颁发证书的默克尔哈希树（MHTs）
  • Monitors（监控）- 验证并聚合来自各个操作员的默克尔哈希树
  • Auditors（审计）- 验证单个条目和默克尔哈希树的一致性
• SCT（Signed Certificate Timestamp，签名证书时间戳）
  • 证明/承诺证书将被添加到公共注册表
  • 由日志操作员（Log Operators）签名（意味着，如果我们信任日志操作员，我们就信任SCT）
  • Monitors & Auditors 验证证书确实被添加到注册表中
• Web Browsers（网络浏览器）要求查看每个证书的一个或多个SCTs
  • 3种方法：TLS extension，OCSP / Stapling，x509v3 Extension

参考文献

1、网站：Practical Networking.net：Practical TLS