Jump to content

Прозрачность сертификата

Прозрачность сертификатов ( CT ) — это безопасности Интернета стандарт , предназначенный для мониторинга и аудита выдачи цифровых сертификатов . [ 1 ] Когда пользователь Интернета взаимодействует с веб-сайтом, необходима доверенная третья сторона, которая сможет заверить пользователя в том, что веб-сайт является законным и что ключ шифрования веб-сайта действителен. Эта третья сторона, называемая центром сертификации (CA), выдает сертификат для веб-сайта, который пользователь может проверить. Безопасность зашифрованного интернет-трафика (HTTPS) зависит от уверенности в том, что сертификаты выдаются только центром сертификации и что центр сертификации не был скомпрометирован.

Прозрачность сертификатов делает общедоступными все выданные сертификаты, давая владельцам веб-сайтов и аудиторам возможность обнаруживать и раскрывать ненадлежащим образом выданные сертификаты.

Работа над прозрачностью сертификатов впервые началась в 2011 году после того, как центр сертификации DigiNotar был скомпрометирован и начал выдавать вредоносные сертификаты. Инженеры Google представили проект в Целевую группу по проектированию Интернета (IETF) в 2012 году. В результате этого проекта IETF RFC   9162 — стандарт, определяющий систему общедоступных журналов для записи всех сертификатов, выданных общедоступными центрами сертификации , что позволяет эффективно идентифицировать ошибочно или злонамеренно выданные сертификаты. [ 2 ]

Технический обзор

[ редактировать ]

Система прозрачности сертификатов состоит из системы журналов сертификатов , предназначенных только для добавления . Журналы управляются многими сторонами, включая поставщиков браузеров и центры сертификации . [ 3 ] Сертификаты, поддерживающие прозрачность сертификата, должны включать одну или несколько меток времени подписанного сертификата (SCT), что является обещанием оператора журнала включить сертификат в свой журнал в пределах максимальной задержки слияния (MMD). [ 4 ] [ 3 ] В какой-то момент в пределах максимальной задержки слияния оператор журнала добавляет сертификат в свой журнал. Каждая запись в журнале ссылается на хэш предыдущей записи, образуя дерево Меркла . Подписанный заголовок дерева (STH) ссылается на текущий корень дерева Меркла .

Процедура регистрации

[ редактировать ]

Хотя любой может отправить сертификат в журнал CT, эта задача обычно выполняется центром сертификации следующим образом: [ 4 ] [ 5 ]

  1. Заявитель: «Физическое или юридическое лицо, подающее заявку на получение (или ходатайствующее о продлении) Сертификата», [ 6 ] запрашивает сертификат у центра сертификации.
  2. Центр сертификации выдает специальный предсертификат — сертификат, который содержит подозрительное расширение, сигнализирующее о том, что он не должен приниматься пользовательскими агентами.
  3. Центр сертификации отправляет предварительный сертификат в журналы
  4. Журналы возвращают соответствующие SCT в центр сертификации.
  5. Центр сертификации присоединяет SCT, собранные из журналов, в качестве расширения X.509 к окончательному сертификату и предоставляет его заявителю.

Наконец, центр сертификации может принять решение зарегистрировать и окончательный сертификат. Например, Let's Encrypt E1 CA регистрирует как предварительные, так и окончательные сертификаты (см. страницу профиля CA crt.sh в разделе «выданные сертификаты»), тогда как Google GTS CA 2A1 этого не делает (см. страницу профиля crt.sh ).

Обязательная прозрачность сертификата

[ редактировать ]

Некоторые браузеры требуют, чтобы сертификаты TLS имели подтверждение регистрации с прозрачностью сертификата. [ 7 ] [ 8 ] либо через SCT, встроенные в сертификат, расширение во время установления связи TLS, либо через OCSP :

Браузер Текущие требования SCT Текущие требования к расширению OCSP/TLS
Хром / Хром
  • Один SCT из утвержденного на данный момент журнала
  • Продолжительность ≤ 180 дней: 2 SCT из единожды утвержденных журналов.
  • Продолжительность > 180 дней: 3 SCT из единожды утвержденных журналов. [ 9 ] [ 10 ]
  • 1 SCT из текущего журнала Google
  • 1 SCT из текущего журнала, не относящегося к Google.
Firefox Никто [ 11 ] Никто
Сафари
  • Один SCT из утвержденного на данный момент журнала
  • Продолжительность ≤ 180 дней: 2 SCT из единожды утвержденных журналов.
  • Продолжительность > 180 дней: 3 SCT из единожды утвержденных журналов. [ 12 ]
Два SCT из утвержденных на данный момент журналов

Шардинг журнала

[ редактировать ]

Из-за большого количества сертификатов, выданных с помощью Web PKI , журналы прозрачности сертификатов могут разрастаться и содержать большое количество сертификатов. Такое большое количество сертификатов может вызвать нагрузку на журналы. Временное сегментирование — это метод снижения нагрузки на журналы путем разделения журнала на несколько журналов, при этом каждый сегмент принимает только предварительные сертификаты и сертификаты с датой истечения срока действия в определенный период времени (обычно календарный год). [ 13 ] [ 14 ] [ 15 ] Cloudflare Серия журналов Nimbus от была первой, в которой использовалось временное сегментирование.

Фон

[ редактировать ]

Преимущества

[ редактировать ]

Одна из проблем управления цифровыми сертификатами заключается в том, что мошеннические сертификаты долго выявляются, сообщаются и отзываются . Выданный сертификат, не зарегистрированный с помощью прозрачности сертификатов, может вообще никогда не быть обнаружен. Прозрачность сертификатов позволяет владельцу домена (и всем, кому это интересно) получить информацию о любом сертификате, выданном для домена.

Журналы прозрачности сертификатов

[ редактировать ]

Прозрачность сертификатов зависит от проверяемых журналов прозрачности сертификатов. Журнал добавляет новые сертификаты в постоянно растущее хеш-дерево Меркла . [ 1 ] : §4  Чтобы считаться корректным, журнал должен:

  • Убедитесь, что каждый отправленный сертификат или предварительный сертификат имеет действительную цепочку подписей, ведущую к доверенному корневому сертификату центра сертификации.
  • Отказаться от публикации сертификатов без этой действительной цепочки подписей.
  • Сохраните всю цепочку проверки от вновь принятого сертификата обратно до корневого сертификата.
  • Предъявите эту цепочку на аудит по запросу.

Журнал может принимать сертификаты, которые еще не полностью действительны, а также сертификаты, срок действия которых истек.

Мониторы прозрачности сертификатов

[ редактировать ]

Мониторы действуют как клиенты для серверов журналов. Мониторы проверяют журналы, чтобы убедиться, что они работают правильно. Несоответствие используется для доказательства неправильного поведения журнала, а подписи в структуре данных журнала (дерево Меркла) не позволяют журналу отрицать такое неправильное поведение.

Сертификат Аудитора прозрачности

[ редактировать ]

Аудиторы также выступают в качестве клиентов серверов журналов. Аудиторы прозрачности сертификатов используют частичную информацию о журнале для проверки журнала на соответствие другой имеющейся у них частичной информации. [ 1 ] : §8.3 

Программы журнала прозрачности сертификатов

[ редактировать ]

Яблоко [ 16 ] и Google [ 13 ] иметь отдельные программы журналов с разными политиками и списками доверенных журналов.

Корневые хранилища журналов прозрачности сертификатов

[ редактировать ]

Журналы прозрачности сертификатов поддерживают собственные корневые хранилища и принимают только те сертификаты, которые связаны с доверенными корнями. [ 1 ] В прошлом ряд журналов с неправильным поведением публиковали противоречивые корневые хранилища. [ 17 ]

История

[ редактировать ]
Пример записи «Прозрачность сертификата» в Firefox 89

В 2011 году был атакован реселлер центра сертификации и центр сертификации DigiNotar скомпрометирован Comodo . [ 18 ] демонстрация существующих недостатков в экосистеме центров сертификации и стимулирование работы над различными механизмами предотвращения или мониторинга несанкционированной выдачи сертификатов. Google В том же году сотрудники Бен Лори , Адам Лэнгли и Эмилия Каспер начали работу над с открытым исходным кодом системой для обнаружения неправильно выданных сертификатов. В 2012 году они представили первый проект стандарта в IETF под кодовым названием «Sunlight». [ 19 ]

В марте 2013 года Google запустил свой первый журнал прозрачности сертификатов. [ 20 ]

В июне 2013 года Был опубликован RFC   6962 «Прозрачность сертификатов» на основе проекта 2012 года.

В сентябре 2013 года DigiCert стал первым центром сертификации , внедрившим прозрачность сертификатов. [ 21 ]

В 2015 году Google Chrome начал требовать прозрачности сертификатов для новых сертификатов расширенной проверки . [ 22 ] [ 23 ] Он начал требовать прозрачности сертификатов для всех сертификатов, недавно выпущенных Symantec, с 1 июня 2016 года, после того как было обнаружено, что они выдали 187 сертификатов без ведома владельцев доменов. [ 24 ] [ 25 ] С апреля 2018 года это требование распространено на все сертификаты. [ 8 ]

23 марта 2018 года Cloudflare анонсировала собственный журнал CT под названием Nimbus . [ 26 ]

В мае 2019 года центр сертификации Let's Encrypt запустил собственный журнал CT под названием Oak. С февраля 2020 года он включен в утвержденные списки журналов и может использоваться всеми общедоступными центрами сертификации. [ 27 ]

В декабре 2021 года RFC   9162 «Прозрачность сертификатов версии 2.0». Опубликован [ 1 ] Версия 2.0 включает существенные изменения в необходимую структуру сертификата журнала, а также поддержку Ed25519 в качестве алгоритма подписи SCT и поддержку включения доказательств включения сертификата в SCT.

В феврале 2022 года Google опубликовал обновление своей политики CT. [ 28 ] который устраняет требование к сертификатам включать SCT в собственную службу журналов CT, сопоставляя все требования к сертификатам с ранее опубликованными Apple. [ 29 ]

Алгоритмы подписи

[ редактировать ]

В версии 2.0 «Прозрачность сертификатов» журнал должен использовать один из алгоритмов реестра IANA «Алгоритмы подписи». [ 1 ] : 10.2.2  [ 30 ]

Инструменты для проверки журналов CT

[ редактировать ]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Перейти обратно: а б с д и ж Прозрачность сертификатов версии 2.0 . Декабрь 2021 г. doi : 10.17487/RFC9162 . РФК 9162 .
  2. ^ Соломон, Бен (8 августа 2019 г.). «Введение в мониторинг прозрачности сертификатов» . Облачная вспышка . Архивировано из оригинала 8 августа 2019 года . Проверено 9 августа 2019 г. Ах, прозрачность сертификатов (CT). CT решает проблему, которую я только что описал, делая все сертификаты общедоступными и облегчающими проверку. Когда центры сертификации выдают сертификаты, они должны отправлять сертификаты как минимум в два «общедоступных журнала». Это означает, что в совокупности журналы содержат важные данные обо всех доверенных сертификатах в Интернете.
  3. ^ Перейти обратно: а б Шейтле, Квирин; Гассер, Оливер; Нольте, Теодор; Аманн, Джоанна; Брент, Лекси; Карл, Георг; Хольц, Ральф; Шмидт, Томас К.; Валиш, Маттиас (31 октября 2018 г.). «Рост прозрачности сертификатов и ее последствия для экосистемы Интернета». Материалы конференции Internet Measurement Conference 2018 . Бостон, Массачусетс, США: ACM. стр. 343–349. дои : 10.1145/3278532.3278562 . ISBN  978-1-4503-5619-0 . S2CID   52814744 .
  4. ^ Перейти обратно: а б «Как работает CT: прозрачность сертификатов» . сертификат.transparency.dev . Проверено 25 февраля 2022 г.
  5. ^ «Журналы прозрачности сертификатов (CT)» . Давайте зашифруем . Проверено 4 января 2024 г.
  6. ^ «Базовые требования к выпуску и управлению сертификатами, пользующимися общественным доверием» (PDF) . Форум CA/B . Проверено 4 января 2024 г.
  7. ^ Колл, Эшли (3 июня 2015 г.). «Прозрачность сертификатов: часто задаваемые вопросы | Блог DigiCert» . ДигиСерт . Проверено 13 апреля 2021 г.
  8. ^ Перейти обратно: а б О'Брайен, Девон (7 февраля 2018 г.). «Обеспечение прозрачности сертификатов в Google Chrome» . Группы Google . Проверено 18 декабря 2019 г.
  9. ^ Это относится к сертификатам, выданным 15 апреля 2022 года или после этой даты. Для более старых сертификатов применяются другие критерии.
  10. ^ «Политика прозрачности сертификатов Chrome» . СертификатПрозрачность . Проверено 26 февраля 2022 г.
  11. ^ «Прозрачность сертификатов — Веб-безопасность | MDN» . http://developer.mozilla.org . Проверено 26 февраля 2022 г.
  12. ^ «Политика прозрачности сертификатов Apple» . Поддержка Apple . 5 марта 2021 г. Проверено 26 февраля 2022 г.
  13. ^ Перейти обратно: а б «Политика журналов Chrome CT» . googlechrome.github.io . Проверено 14 октября 2021 г.
  14. ^ Томеску, Алин; Бхупатираджу, Вивек; Пападопулос, Димитриос; Папаманту, Харалампос; Триандопулос, Никос; Девадас, Шринивас (6 ноября 2019 г.). «Журналы прозрачности через словари, аутентифицированные только для добавления». Материалы конференции ACM SIGSAC 2019 по компьютерной и коммуникационной безопасности . Лондон, Великобритания: ACM. стр. 1299–1316. дои : 10.1145/3319535.3345652 . ISBN  978-1-4503-6747-9 . S2CID   52034337 .
  15. ^ «Масштабирование журналов CT: временное сегментирование | DigiCert.com» . www.digicert.com . Проверено 26 февраля 2022 г.
  16. ^ «Программа журнала прозрачности сертификатов Apple» . apple.com . 28 января 2019 года . Проверено 14 октября 2021 г.
  17. ^ Коржицкий, Никита; Карлссон, Никлас (2020). Характеристика корневого ландшафта журналов прозрачности сертификатов . arXiv : 2001.04319 . {{cite book}}: |work= игнорируется ( помогите )
  18. ^ Брайт, Питер (30 августа 2011 г.). «Еще один поддельный сертификат поднимает те же старые вопросы о центрах сертификации» . Арс Техника . Проверено 10 февраля 2018 г.
  19. ^ Лори, Бен; Лэнгли, Адам; Каспер, Эмилия (12 сентября 2012 г.). «Прозрачность сертификата (draft-laurie-pki-sunlight)» . ietf.org . IETF . Проверено 28 мая 2023 г.
  20. ^ «Известные журналы — прозрачность сертификатов» . сертификат-transparency.org . Проверено 31 декабря 2015 г.
  21. ^ «DigiCert объявляет о поддержке прозрачности сертификатов» . Мрачное чтение. 24 сентября 2013 г. Проверено 31 октября 2018 г.
  22. ^ Вудфилд, Мегги (5 декабря 2014 г.). «Для того чтобы сертификаты EV отображали зеленую адресную строку в Chrome, необходима прозрачность сертификата» . Блог DigiCert . ДигиСерт .
  23. ^ Лори, Бен (4 февраля 2014 г.). «Обновленный план прозрачности сертификатов + расширенная проверка» . [электронная почта защищена] (список рассылки). Архивировано из оригинала 30 марта 2014 г.
  24. ^ «Symantec Certificate Transparency (CT) для сертификатов, выпущенных до 1 июня 2016 г.» . Центр знаний Symantec . Симантек . 9 июня 2016. Архивировано из оригинала 5 октября 2016 года . Проверено 22 сентября 2016 г.
  25. ^ Сливи, Райан (28 октября 2015 г.). «Поддержание безопасности цифровых сертификатов» . Блог Google по безопасности .
  26. ^ Салливан, Ник (23 марта 2018 г.). «Представляем прозрачность сертификатов и Nimbus» . Cloudflare.com . Архивировано из оригинала 23 марта 2018 года . Проверено 9 августа 2019 г.
  27. ^ «Представляем Oak, бесплатный и открытый журнал прозрачности сертификатов — давайте зашифруем» . letsencrypt.org . Проверено 13 апреля 2021 г.
  28. ^ «Обновление политики Google CT» . Группы Google . Проверено 14 февраля 2022 г.
  29. ^ «Политика прозрачности сертификатов Apple» . support.apple.com . 5 марта 2021 г. Проверено 14 февраля 2022 г.
  30. ^ «Алгоритмы подписи» . Прозрачность государственного нотариуса . ИАНА . Проверено 28 мая 2023 г.
  31. ^ «Мониторы: Прозрачность сертификатов» . сертификат.transparency.dev . Проверено 6 марта 2023 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Certificate_Transparency&oldid=1230326573"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 7bad00436a94e5e741f8bdf648f7f04f__1719013080
URL1:https://arc.ask3.ru/arc/aa/7b/4f/7bad00436a94e5e741f8bdf648f7f04f.html
Заголовок, (Title) документа по адресу, URL1:
Certificate Transparency - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)