Сертификаттың мөлдірлігі - Certificate Transparency

Сертификаттың мөлдірлігі (КТ) болып табылады Интернет қауіпсіздігі стандартты және ашық ақпарат көзі жақтау бақылау және аудит үшін сандық сертификаттар.[1] Стандарт қоғамдық жүйені жасайды журналдар ақырында көпшілікке сенген барлық сертификаттарды жазуға тырысады сертификат беретін органдар, қате немесе зиянды түрде берілген сертификаттарды тиімді анықтауға мүмкіндік береді.[2]

Фон

2011 жылы сертификат орталығының сатушысы Комодо шабуыл жасалды және куәлік орталығы DigiNotar болды ымыраға келу,[3] куәлік беретін орталықтың экожүйесіндегі бар кемшіліктерге назар аудару және сертификаттың рұқсат етілмеген шығарылуын болдырмау немесе бақылаудың түрлі тетіктері бойынша жұмысты жеделдету. Бен Лори Адам Лэнгли мен Эмилия Каспер жұмыс істей бастады ашық ақпарат көзі жақтау сол жылы осы мәселелермен күресу. Олар стандарттың алғашқы жобасын IETF Интернет жобасы 2012 жылы «Күн сәулесі» кодтық атауымен.

Артықшылықтары

Цифрлық сертификаттарды басқарудағы проблемалардың бірі - жалған сертификаттарды браузерлердің сатушылары байқап, хабарлап, күшін жоятын уақытты алады. Сертификаттың ашықтығы домен иесіне белгісіз доменге сертификат беру мүмкін болмай қалуына көмектеседі.

Сертификаттың мөлдірлігі қажет емес бүйірлік канал байланысы сияқты кейбір бәсекелес технологиялар сияқты сертификаттарды растау Интернеттегі куәлік мәртебесінің хаттамасы (OCSP) және Конвергенция. Куәліктің мөлдірлігі үшінші тарапқа сенім білдірусіз жұмыс істейді.

Сертификаттардың мөлдірлігі журналдары

Сертификаттардың мөлдірлігі тексерілетін сертификаттардың ашықтығы журналдарына байланысты. Журнал үнемі өсіп келе жатқан жаңа сертификаттарды қосады Merkle хэш ағашы.[1]:3 бөлімЖурнал өзін дұрыс ұстау үшін көрінуі керек:

  • Әрбір ұсынылған сертификаттың немесе сертификаттың түпнұсқалық сертификаттың сенімді сертификатына әкелетін жарамды қолтаңба тізбегі бар екенін тексеріңіз.
  • Осы қолтаңба тізбегінсіз сертификаттарды жариялаудан бас тартыңыз.
  • Барлық растау тізбегін жаңадан қабылданған сертификаттан бастап түпнұсқа сертификатқа дейін сақтаңыз.
  • Сұраныс бойынша осы тізбекті аудиторлық қызметке ұсыныңыз.

Журнал әлі толық күшіне енбеген сертификаттарды және мерзімі өткен сертификаттарды қабылдай алады.

Сертификаттың мөлдірлігі мониторлары

Мониторлар журнал серверлеріне клиент ретінде қызмет етеді. Мониторлар журналдардың өзін дұрыс ұстайтындығына көз жеткізеді. Журналдың дұрыс жұмыс істемегенін дәлелдеу үшін қарама-қайшылық қолданылады, ал журналдың деректер құрылымындағы қолтаңбалар (Merkle ағашы) журналдың бұл тәртіпті жоққа шығаруына жол бермейді.

Ашықтық аудиторларының сертификаттары

Аудиторлар журнал серверлеріне клиент ретінде де қатысады. Куәліктің ашықтығы аудиторлары журналды олардағы басқа жартылай ақпаратпен салыстыру үшін журнал туралы жартылай ақпаратты пайдаланады.[1]:5.4 бөлім

Куәліктің жүзеге асырылуы

Google сертификаттардың мөлдірлігі туралы алғашқы журналды 2013 жылдың наурыз айында бастады.[4] 2013 жылдың қыркүйегінде, DigiCert бірінші болды куәлік орталығы сертификаттардың ашықтығын жүзеге асыру.[5]

Google Chrome жаңадан шығарылған сертификаттардың ашықтығын талап ете бастады Кеңейтілген растау сертификаттары 2015 жылы.[6][7] Ол жаңадан берілген барлық сертификаттар үшін сертификаттардың ашықтығын талап ете бастады Symantec 2016 жылдың 1 маусымынан бастап олар домен иелерінің білместен 187 сертификат бергені анықталды.[8][9] 2018 жылдың сәуір айынан бастап бұл талап барлық сертификаттарға таратылды.[10]

Бұлт атты өзінің жеке КТ жариялады Nimbus 23.03.2018 ж.[11]

EJBCA, Куәлік Орталығының бағдарламалық қамтамасыздандыруы КТ журналдарына сертификаттар ұсынуға және берілген сертификаттарға қайтарылған SCT-ді енгізуге қолдау көрсетті Сәуір 2014.

Әдебиеттер тізімі

  1. ^ а б c Лори, Бен; Лэнгли, Адам; Каспер, Эмилия (маусым 2013). Сертификаттың мөлдірлігі. IETF. дои:10.17487 / RFC6962. ISSN  2070-1721. RFC 6962.
  2. ^ Сүлеймен, Бен (8 тамыз 2019). «Сертификаттардың ашықтығына мониторинг жүргізуді енгізу». Бұлт. Архивтелген түпнұсқа 8 тамыз 2019 ж. Алынған 9 тамыз 2019. Куәліктің мөлдірлігі (CT). КТ мен сипаттаған мәселені барлық сертификаттарды көпшілікке және тексеруге жеңіл ету арқылы шешеді. CA сертификаттар берген кезде, олар сертификаттарды кем дегенде екі «жалпы журналға» жіберуі керек. Бұл дегеніміз, журналдарда Интернеттегі барлық сенімді сертификаттар туралы маңызды деректер бар.
  3. ^ Жарқын, Питер (30 тамыз, 2011). «Тағы бір алаяқтық куәлік сертификат беретін органдарға қатысты бұрынғы сұрақтарды тудырады». Ars Technica. Алынған 2018-02-10.
  4. ^ «Белгілі журналдар - сертификаттардың ашықтығы». cert-transparency.org. Алынған 2015-12-31.
  5. ^ «DigiCert сертификаттың ашықтығын қолдау туралы хабарлайды». Қараңғы оқу. 2013-09-24. Алынған 2018-10-31.
  6. ^ Вудфилд, Мегги (2014 жылғы 5 желтоқсан). «Chrome-да жасыл мекенжай жолағын көрсету үшін EV сертификаттарына сертификаттың мөлдірлігі қажет». DigiCert блогы. DigiCert.
  7. ^ Лори, Бен (4 ақпан, 2014). «Сертификаттың ашықтығы + кеңейтілген растау жоспары». [email protected] (Тарату тізімі). Мұрағатталды түпнұсқасынан 2014-03-30.
  8. ^ «Symantec сертификатының мөлдірлігі (CT) 2016 жылдың 1 маусымына дейін берілген сертификаттар үшін». Symantec білім орталығы. Symantec. 9 маусым 2016. мұрағатталған түпнұсқа 2016 жылғы 5 қазанда. Алынған 22 қыркүйек, 2016.
  9. ^ Слееви, Райан (28.10.2015). «Цифрлық сертификаттың қауіпсіздігін сақтау». Google қауіпсіздік блогы.
  10. ^ О'Брайен, Девон (7 ақпан 2018). «Google Chrome-дағы сертификаттың мөлдірлігі». Google топтары. Алынған 18 желтоқсан 2019.
  11. ^ Салливан, Ник (23 наурыз 2018). «Сертификаттардың мөлдірлігі мен Nimbus-ты енгізу». Бұлт. Архивтелген түпнұсқа 23 наурыз 2018 ж. Алынған 9 тамыз 2019.

Сыртқы сілтемелер