Qual é o status do suporte para a transparência de certificados (CT) em logs, navegadores e CAs?
Logs
A partir de fevereiro de 2018, a DigiCert passou a enviar por padrão todos os certificados TLS/SSL recém emitidos e com confiança pública para logs de transparência de certificados (CT). Fizemos essa alteração antes que o requisito do Google para todo o setor entrasse em vigor em abril de 2018 a fim de melhorar a segurança de nossos clientes e estimular a adoção. Antes de 2018, os logs só eram exigidos para certificados EV.
A DigiCert opera seu próprio log CT, que também é usado pelo Google. A inclusão de um log requer um alto grau de disponibilidade, comprovado por um período de teste de 90 dias. Um log que não possa atender a esses altos requisitos não é confiável. Por isso, a DigiCert seguiu precauções extras ao estabelecer seu log e garantir que seja robusto o suficiente para tratar o volume de todos os certificados emitidos.
Navegadores
Chrome – O Chrome passou a ter suporte para CT no início de 2014. Agora, esse suporte está se tornando um requisito para todas as CAs que emitem certificados.
Para um certificado de um ano, o Google exigia comprovações de dois logs independentes. Para um certificado de dois anos emitido antes que os certificados de um ano se tornassem o padrão em 2020, o certificado precisava incluir comprovações de CT de pelo menos três logs independentes. Para facilitar a transição para as CAs, o Google relaxou temporariamente seu requisito de independência, permitindo que as CAs incluíssem duas comprovações dos logs do Google e uma do log da DigiCert. A expectativa era de que mais CAs e partes interessadas criassem logs durante o período para garantir um número suficiente de logs operacionais.
Firefox– Atualmente, o Firefox não verifica ou exige o uso de logs CT para os sites que os usuários visitam.
Safari– A Apple exige um número variável de SCTs para que o Safari e outros servidores confiem em certificados de servidor.
Autoridades de certificação:
Segundo a RFC 9162 do Internet Engineering Task Force (IETF), espera-se que as CAs públicas contribuam com todos os seus certificados recém-criados para um ou mais logs; entretanto, os detentores de certificados também podem contribuir com suas próprias cadeias de certificados, assim como terceiros.
Até janeiro de 2015, todas as grandes CAs passaram a incluir certificados EV em servidores de logs CT. Qualquer CA que emitisse certificados EV precisava usar os dois logs do Google disponíveis e o log da DigiCert para atingir a conformidade com o requisito do Google.
Como a DigiCert atende ao requisito de conformidade com a transparência de certificados?
A CT fortalece o sistema de certificados TLS/SSL criando registros publicamente auditáveis da emissão de certificados. Desde 2015, o Google exige que as CAs registrem certificados EV em logs CT públicos. Em abril de 2018, o Google passou a exigir que as CAs também registrassem certificados OV e DV em logs CT públicos.
A DigiCert passou a publicar todos os certificados TLS/SSL públicos recém-emitidos em logs CT públicos em 1º de fevereiro de 2018. Essa mudança não afetou quaisquer certificados OV ou DV emitidos antes de 1º de fevereiro de 2018.
Navegadores com políticas de transparência de certificados:
A partir de abril de 2018, o Google passou a exigir que as CAs registrassem todos os certificados TLS/SSL (EV, OV e DV).
E, a partir de 15 de outubro de 2018, a Apple passou a exigir que as CAs registrassem todos os certificados TLS/SSL (EV, OV e DV).
Qual é a origem e o histórico da transparência de certificados?
Em 2011, uma autoridade de certificação (CA) holandesa chamada DigiNotar foi invadida, permitindo que os criminosos criassem mais de 500 certificados fraudulentos emitidos com a raiz confiável da DigiNotar. Os invasores usaram esses certificados para falsificar diversos sites, incluindo o Google e o Facebook, e dispararam ataques man-in-the-middle contra usuários desavisados.
Esse incidente, entre outros de alto nível com certificados emitidos de forma incorreta ou mal-intencionada por outras CAs diferentes da DigiCert, fez com que os engenheiros do Google pensassem em novas soluções. Dois desses engenheiros, Ben Laurie e Adam Langley, conceberam a transparência de certificados (CT) e começaram a desenvolver a estrutura como um projeto de código aberto. Em 2012, Laurie e Langley criaram um projeto inicial operacional descrevendo a transparência de certificados junto com o IETF, e em 2013 publicaram um RFC.
Em 2013, o Google lançou dois logs públicos e anunciou seus planos para passar a exigir a CT para todos os certificados SSL EV no Google Chrome.
Desde 2012, a DigiCert testa a integração com a CT e fornece feedback sobre as implementações de CT propostas. Em setembro de 2013, a DigiCert tornou-se a primeira CA a implementar a CT em seus sistemas, e, em outubro do mesmo ano, tornou-se a primeira CA a oferecer aos clientes a opção de incorporar comprovações de CT em certificados SSL.
Em setembro de 2014, a DigiCert enviou um log privado para o Google a fim de incluí-lo no Google Chrome. O log da DigiCert foi aceito em 31 de dezembro de 2014. A DigiCert foi a primeira CA a criar um log CT.