CA如何提供CT記錄證明?
自2015年1月1日起,所有主要憑證授權中心(CA)都應具有為EV SSL憑證提供憑證透明度(CT)記錄的功能。自2018年5月1日起,所有主要憑證授權中心(CA)都應具有為DV和OV SSL/TLS憑證提供憑證透明度(CT)記錄的功能。
然而,用於提供證明的機制可能因CA而異。DigiCert目前支援所有三種提供SCT的方法。預設情況下,DigiCert將內嵌來自兩個Google記錄和DigiCert記錄的SCT。內嵌SCT是用以提供證明的最簡單方法,因為它不需要伺服器操作員採取任何動作。有興趣使用TLS擴充或OCSP裝訂的客戶應與我們聯絡以獲取有關可能需要在其伺服器上進行更改的更多訊息。
什麼是SCT提供方法?
CA可以將憑證記錄在包含其根的任何受信任的記錄中。記錄處理加入要求,並使用已簽署的憑證時間戳記(SCT)進行回應。SCT發揮著類似收據的作用——顯示憑證將在一定的時間段內(被稱為最大合併延遲或MMD)被添加到記錄中。這可確保在既定的時間範圍之內將憑證添加到記錄中,但不會減緩憑證的頒發速度或阻止憑證的使用。允許的最長MMD是24小時,這意味著所有新頒發並被記錄的憑證將在SCT產生後24小時內在記錄中顯示。
在憑證的整個生命週期之中SCT都包含於憑證,並且是支援TLS握手過程的一部分。此過程評估SCT,以確保每個SCT都來源於已核准的CT記錄。
CT支援三種帶憑證的SCT提供方法
憑證內嵌
CA可以透過將SCT證明直接內嵌至憑證擴充的方法來將SCT附加到憑證。在頒發之前,CA向記錄提交預先憑證,然後記錄返回SCT。CA在憑證被適當的中介簽署之前,將返回的SCT作為憑證擴充包含在已頒發的憑證中。
此方法不需要伺服器操作員對伺服器進行任何修改或動作。但是,這種方法要求CA在頒發憑證之前獲得SCT。
TLS擴充
伺服器操作員可以使用特殊的TLS擴充在實際憑證之外提供SCT。CA頒發憑證後,伺服器操作員將憑證提交給記錄。記錄將SCT寄送給伺服器操作員,伺服器在握手期間使用TLS擴充來提供SCT。
此方法會把憑證縮小,並且不需要CA採取任何動作。
OCSP裝訂
伺服器操作員還可以使用線上憑證狀態通訊協定(OCSP)裝訂來提供SCT。在使用OCSP裝訂的情況下,CA將憑證頒發給記錄伺服器和伺服器操作員。CA將SCT返回給伺服器操作員,作為伺服器要求OCSP回應的一部分。此回應將SCT作為擴充包含在內,之後在TLS握手期間由伺服器提供給用户端。
此方法要求CA在頒發期間向記錄提交憑證,但允許CA在收到SCT之前交付憑證。此方法還要求伺服器操作員在伺服器上啟用OCSP裝訂。