Wiki 說
憑證透明度(英語:Certificate Transparency,簡稱CT)也稱憑證透明、憑證透明化,它是一個實驗性的IETF開源標準[1]和開源框架,目的是監測和審計數位憑證。通過憑證紀錄檔、監控和審計系統,憑證透明度使網站用戶和域名持有者可以辨識不當或惡意簽發的憑證,以及辨識數位憑證認證機構(CA)的作為。
再看一下這個 What is Certificate Transparency? How It helps Detect Fake SSL Certificates
(有人翻譯了 如何應對偽造的SSL證書?)
意指現在大家都要有 https (SSL) 連線的情況下,上面文章引述了以前發生的大~事件,來說明其實 https (SSL) 並沒有多安全,主要都是人為啦。
- 谷歌發現賽門鐵克(證書頒發機構之一)在Google不知情下為Google域名頒發了有效期一天的預簽證書。
- 2011年3月,一名黑客入侵了Comodo公司(一個著名的證書頒發機構),偷走了七個Web域共9個數字證書,包括mail.google.com, addons.mozilla.org和login.yahoo .com等。
- 荷蘭的證書頒發機構DigiNotar同樣遭到了黑客入侵,頒發了大量的偽造證書。
- 2011年,DigiNotar證書頒發機構頒發的偽造數字證書被用於攻擊約300000個伊朗用戶的Gmail賬戶。
- 2013年末,谷歌發現法國政府偽造了其域名的數字證書,並將其用於實施中間人攻擊。
- 2014年,谷歌證實了又一事件:印度國家信息中心使用了其域名的未授權數字證書。
所以 Google 才提出 Certificate Transparency 憑證透明度 ,用公開可查的機制,來讓 https (SSL) 是足以信任的。
Certificate Transparency 工具
- https://crt.sh/
- https://www.google.com/transparencyreport/https/ct/
留言