什么是证书透明度?
证书透明度(CT)是日志、监测人员和审核人员的开放框架,旨在帮助域名的所有者监督为其品牌所颁发的数字证书。CT日志通过提供一种更容易发现颁发不当的证书或恶意证书的方法,从而帮助域名所有者保护其品牌。颁发证书的实体,如CA,对证书进行记录以符合相关标准。
DigiCert支持CT,其原因是及早检测出颁发不当的证书对服务器操作员和用户而言非常重要。因此,CT对行业来说是一项重大改进,并让采用证书颁发良好做法的CA脱颖而出。我们将始终遵循有关身份验证和颁发高保障度数字证书的最高标准。
证书透明度的优势是什么?
及早检测:CT有助于在几个小时而不是几天、几周或几个月内检测出未经授权的证书。域名所有者能够识别出未经明确审批或在其域名策略之外而颁发的任何证书。
加速缓解:使用CT可帮助用户确定哪些证书需要吊销,从而使其能够快速与颁发证书的CA进行沟通并缩短证书吊销流程。
增进了解:CT能让公众深入了解SSL/TLS系统,让任何人都能观察并验证系统的健康状况和完整性。用户还可以看到各家CA在颁发流程方面的差异。
强化安全:通过为证书颁发流程提供透明度并让用户了解已颁发的证书,CT强化了信任链并提高了所有人进行线上浏览的安全性。
证书透明度的目标是什么?
证书透明度(CT)的成功依赖于多方支持,包括证书颁发机构(CA)、浏览器、品牌所有者和运行公共CT日志的独立公司。
CT的最终目标是双重的。首先,CA将所有TLS/SSL证书记录在由独立公司运行的多个公开可用的CT日志中,从而让浏览器仅为已记录的证书提供信任。其次,域名所有者和相关方可以监测这些CT日志,以检测CA颁发不当的证书或实际上未经组织授权的证书。
DigiCert还支持另外的证书验证并认为有必要制定更高的验证标准,以确保所颁发的每个证书都已获得拥有域名或品牌的组织的授权。虽然CT仅在颁发完成后提供此确认,但我们认为CT日志记录是TLS/SSL证书验证的重要组成部分,也是对C/AB论坛基线要求中已有的关于请求者验证的补充。