2018年4月30日後,當用戶通過Google Chrome 瀏覽器訪問尚未在CT日誌中登記SSL證書的HTTPS網站,Chrome瀏覽器將會顯示全屏警告,告知用戶其不符合CT標準。
今年2月初,Google工程師Devon O’Brien在Google網上論壇就發佈了相關的消息:2018年4月30日後發佈的所有TLS服務器證書必須符合Chromium CT策略。2018年5月起,當Chrome連接到不符合Chromium CT政策的公開信任證書網站時,用戶將開始看到一整頁插頁式廣告,並指出該連接不符合CT策略。通過不符合CT規範的https連接提供的子資源將無法加載,並會在Chrome DevTools中顯示錯誤。
CT策略 Certificate Transparency,簡稱為CT,中文證書透明度。該政策是由谷歌主導並由 IETF 標準化為RFC 6962。證書透明度是一個開放的審計和監控系統,要求證書頒發機構公開宣佈其頒發的每一個SSL證書,將其記錄到證書日誌中,可以讓任何域名所有者或者證書頒發機構,確定證書是否被錯誤簽發或者惡意使用,從而保障證書籤發流程安全,強化SSL證書的可信度及HTTPS網站的安全性。
Google Chrome佔據全球市場的60%,是互聯網領先的瀏覽器廠商。近年來,Google利用其市場主導地位來推動更安全HTTPS加密協議。2016年,Google工程師提就出CT策略,希望加強HTTPS協議的應用策略之一。最初,CT策略實行自願加入,但去年,全球多家CA機構存在多種錯誤頒發證書現象,影響範圍甚廣。因此,Google強制實施CT策略,旨在全面提高CA的標準。
CT日誌記錄策略規定數字證書認證機構(CA)必須要公佈每天頒發的所有SSL證書。瀏覽器廠商、CA同行以及獨立研究人員都能自由地隨時調查CA機構是否存在錯誤簽發的書。而作為國產證書的使命者GDCA自主頒發的SSL證書已全面支持CT日誌記錄策略,歡迎接受第三方的監督。
閱讀更多 GDCA數安時代 的文章
