先前 Chrome 宣布在 2017 年 10 月以後發行的網站需要遵守 Chrome 的憑證透明化政策,才可以被瀏覽器信任。
SSL 數位憑證是證明您的網站在資料傳輸時有加密的證書,SSL 是在資料傳輸時進行加密,若有心人士想要竊取,也無法破譯為原始的傳輸資料,因此 SSL 可以保障機密資料的安全,增加客戶的信任,通常使用者會向信賴的憑證機構 (CA) 申請憑證,但近年來,越來越多惡意的攻擊、人為的疏忽等問題,導致合法 SSL 證書出現誤發的情況,Google 為了要降低這種情況發生,制定憑證透明化政策來減少憑證假冒、CA 廠商誤發及中間人攻擊(攻擊者可以攔截通訊雙方的通話並插入新的內容)的行為,增加 SSL 證書的透明度及可信度。
憑證透明化 ( Certificate Transparency ,CT ) 是由 Google 維護的公開系統,他要求 CA 廠商將每張證書資料記錄到 google 的 log server 中,讓任何域名的所有者或者 CA 廠商確定證書是否有誤發或者被惡意使用,主要由以下三個部分組成
1.Certificate logs (證書日誌)
Certificate logs 會記錄您的網域 (Domain) 證書簽發行為,憑證只能增加日誌,不能被刪除、修改或插入,也有提供特殊的加密機制,以防止修改或是不當的行為,此日誌提供任何人都可以去查詢憑證相關資料。
2.Certificate monitors (證書監視)
Monitors 會定期看證書日誌,來監視是不是有可疑的證書,例如:不合法或未經授權證書,或者是不尋常的證書延期與奇怪的權限。
3.Certificate auditors (證書審核)
Auditors 會檢察日誌行為是否正常,並確認新增加的日誌有沒有被人刪除或修改,另外,他也可以驗證一個特定的證書是否出現在日誌中,如果證書沒在日誌中註冊,這個證書就有點可疑。
目前 google 制定的 CT 只有提供給 DV 和 EV 的用戶,您可以根據以下步驟去看您的憑證是否有加入 CT 的機制:
1.點選網址列前方的綠色鎖頭 -> 點選詳細資料。
2.會出現下方的資訊內容:
- 點選左方 Main Origin 裡的網址,查看右方的資訊區塊是否有 certificate transparency 資訊
目前已經有越來越多 CA 廠商導入憑證透明化的機制,像是 GlobalSign 的 SSL 數位憑證,如果您要購買憑證時可以詢問看看 CA 廠商是否有這個機制,這樣可以讓您的網站及客戶更有保障唷!
圖片來源:Inside
GOOD
Thank you!