先前 Chrome 宣布在 2017 年 10 月以後發行的網站需要遵守 Chrome 的憑證透明化政策，才可以被瀏覽器信任。

SSL 數位憑證是證明您的網站在資料傳輸時有加密的證書，SSL 是在資料傳輸時進行加密，若有心人士想要竊取，也無法破譯為原始的傳輸資料，因此 SSL 可以保障機密資料的安全，增加客戶的信任，通常使用者會向信賴的憑證機構 (CA) 申請憑證，但近年來，越來越多惡意的攻擊、人為的疏忽等問題，導致合法 SSL 證書出現誤發的情況，Google 為了要降低這種情況發生，制定憑證透明化政策來減少憑證假冒、CA 廠商誤發及中間人攻擊(攻擊者可以攔截通訊雙方的通話並插入新的內容)的行為，增加 SSL 證書的透明度及可信度。

憑證透明化 ( Certificate Transparency ，CT ) 是由 Google 維護的公開系統，他要求 CA 廠商將每張證書資料記錄到 google 的 log server 中，讓任何域名的所有者或者 CA 廠商確定證書是否有誤發或者被惡意使用，主要由以下三個部分組成

1.Certificate logs (證書日誌)

Certificate logs 會記錄您的網域 (Domain) 證書簽發行為，憑證只能增加日誌，不能被刪除、修改或插入，也有提供特殊的加密機制，以防止修改或是不當的行為，此日誌提供任何人都可以去查詢憑證相關資料。

2.Certificate monitors (證書監視)

Monitors 會定期看證書日誌，來監視是不是有可疑的證書，例如：不合法或未經授權證書，或者是不尋常的證書延期與奇怪的權限。

3.Certificate auditors (證書審核)

Auditors 會檢察日誌行為是否正常，並確認新增加的日誌有沒有被人刪除或修改，另外，他也可以驗證一個特定的證書是否出現在日誌中，如果證書沒在日誌中註冊，這個證書就有點可疑。

目前 google 制定的 CT 只有提供給 DV 和 EV 的用戶，您可以根據以下步驟去看您的憑證是否有加入 CT 的機制：

1.點選網址列前方的綠色鎖頭 -> 點選詳細資料。

2.會出現下方的資訊內容：

• 點選左方 Main Origin 裡的網址，查看右方的資訊區塊是否有 certificate transparency 資訊

目前已經有越來越多 CA 廠商導入憑證透明化的機制，像是 GlobalSign  的 SSL 數位憑證，如果您要購買憑證時可以詢問看看 CA 廠商是否有這個機制，這樣可以讓您的網站及客戶更有保障唷！

參考文章：Certificate Transparency

圖片來源：Inside