五月起谷歌Chrome强制执行SSL证书透明度政策

Posted 2021-04-28 HostUCan云计算

导语

从2018年4月30日开始，证书透明度政策正式开始强制执行。

从2018年4月30日开始，谷歌要求所有证书机构在证书透明度（Certificate Transparency，以下简称CT）日志中记录其所颁发的SSL数字证书。如果不这样做，就会导致浏览器报警，警告用户你的网站的证书不符合CT要求。

“Chrome将要求所有在2018年4月30日之后颁发的TLS服务器证书符合Chromium CT政策的要求。即日起，当Chrome连接到一个拥有公共证书，但这个证书不符合Chromium CT政策要求时，用户就会看到一个全屏警告画面，暗示他们其连接不符合CT要求。通过不符合CT要求的https来进行连接的子资源将无法加载，同时在Chrome DevTools中也会显示一条错误信息。”

其他浏览器已经承诺会效仿此做法，但是考虑到谷歌浏览器的市场份额（约60%的网络用户），谷歌采用CT政策的决定已经使得这一做法成为强制性的了。

什么是证书透明度？

证书透明度（Certificate Transparency ）是一种记录CA机构颁发的数字证书的机制，以便更好地防止错误颁发、协助撤销事宜。几年前，有一篇关于此的文章，以下是它的要点：

“证书透明度（CT ）是一种能够帮助域名所有者和行业监察员检测错误颁发的机制。它是一个公共可访问的、对已颁发证书进行记录的日志。该日志会列出所有证书的信息，因此任何感兴趣的人都可以检查。实际上，由于SSL生态系统规模庞大——每年会颁发成千上万的证书——多日志是需要的。”

对CAA记录的要求限制了哪个CA机构能够为哪种域名颁发证书。与CAA记录一起，CT记录代表着向更加安全的互联网迈进了大胆的一步。CT记录使得CA机构的责任更大，并能在雪球越滚越大之前，帮助监察员发现问题。

谷歌推动证书透明政策已经有一段时间了。开始它是自愿的，然后在CA犯了一些错，进行了几次错误颁发后，才强制他们加入。众所周知，由于出现了几次错误的颁发，赛门铁克最后同意记录其证书。但是在此之前，除了EV证书和自愿参与的情况之外，CT并不是一个行业标准。谷歌致力于改变这种情况已经有一段时间了，他们甚至在去年还将截止日期进行了延迟，以给CA更多的准备时间。

然而，时间到了。记录证书现在已经是一个所有CA都必须满足的要求了。

为满足证书透明度要求，我需要采取哪些措施？

除非你在运行一个证书机构，你什么都不需要做。这是一个只会影响颁发证书机构的行业变化，因此如果你只是一个代理商，你不用担心什么。同样对终端用户也是如此。此外，如果你的SSL证书是在2018年4月30日之前颁发的且未进行记录，那么它们是不会受到任何影响的。该变化不具有追溯效力。

但是接下来，CA必须在证书透明日志中记录所有SSL证书，以免收到浏览器警告。

欲访问HostUCan官网，可点击下方的“阅读原文”。