Certificate Transparency(CT)是一项旨在增强 TLS/SSL 证书系统安全性的技术标准。CT 通过公开所有颁发的 SSL/TLS 证书(而不是只有受信任的第三方 CA 颁发的证书),以减少恶意证书的滥用,同时提高了网络安全的可见性和透明度。
CT 将证书序列化并存储为日志文件;这些日志文件由 CT 日志服务器维护。每个 CT 日志都必须具有公共可追溯性,这意味着任何人都可以查询并验证证书是否出现在 CT 日志中。这种公开方式可以让网站所有者监控其域名下颁发的 SSL/TLS 证书,进而检查是否存在恶意颁发的证书。
以下是两个 CT 的示例:
-
Google CT:可以用于查询证书是否在 Google Chrome 浏览器中的已知的 CT 日志中核查证书。在网站证书安全性测试期间,Chrome 会查询 CT 日志,以确保没有发现违反规则的证书。
-
Cert Spotter:由 SSLMate 所提供的第三方 CT 服务。这个服务会检查你网站所有子域名下所使用的证书,并通知你是否在日志中发现了新的颁发证书。这样可以提供实时的证书监控服务,确保 SSL/TLS 证书的安全,同时提高网络安全可见性和透明度。
总的来说,CT 是一项能让网站所有者和管理人员监控其 SSL/TLS 证书的技术,以更好地保护网络安全。