Certificate Transparency wymagane dla każdego typu certyfikatu SSL

Certificate Transparency wymagane dla każdego typu certyfikatu SSL

Jeszcze dwa lata temu Certificate Transparency nie było mechanizmem na który zwracano szczególną uwagę. Po wczorajszej decyzji Google na dobre wpisze się on jednak w funkcjonowanie certyfikatów SSL. I dobrze.

O Certificate Transparency

Mechanizm Certificate Transparency (CT) został wymyślony przez Google i zaczął funkcjonować na poważnie na początku 2015 roku. To właśnie wtedy Google zaczęło wymagać stosowanie CT dla certyfikatów SSL o rozszerzonej weryfikacji (EV, ang. Extended Validation). Niedostosowanie się do postawionych wymagań skutkuje brakiem zielonego paska w Chrome.

CT to nic innego jak duża baza danych certyfikatów pozwalająca m.in. na wykrywanie tych błędnie wydanych. Dzięki CT udało się zidentyfikować przynajmniej kilka incydentów dotyczących nieprawidłowych certyfikatów wydanych przez publiczne urzędy certyfikacji. Przykładem niech będzie ubiegłoroczna historia z udziałem Symanteca.

CT opiera swoje działanie na tzw. serwerach logów do których każdy z urzędów certyfikacji może wysyłać informacje o wydawanych certyfikatach. W odpowiedzi otrzymują podpisany znacznik certyfikatu (SCT, ang. signed certificate timestamp), który następnie umieszczają w strukturze certyfikatu. Obecnie funkcjonuje już kilkanaście takich serwerów logów. Nie każdy z nich jest jednak rozpoznawany przez Chrome.

Certificate Transparency

Certificate Transparency

CT już nie tylko dla EV SSL

Wczoraj Google ogłosiło, że od października 2017 roku będzie wymagało wysyłania informacji o każdym wydanym certyfikacie do serwerów CT. Nieważne czy będzie to certyfikat EV, OV (Organization Validation) czy DV (Domain Validation); każdy będzie musiał być upubliczniony poprzez CT. Ten kto nie dostosuje się do nowych wymagań (mam na myśli głównie urzędy certyfikacji) nie będzie mógł liczyć na to, że jego certyfikaty będą respektowane przez przeglądarkę Chrome.

W związku z ogłoszonym postanowieniem Google dużo większym wyzwaniem stanie się utrzymywanie serwerów przechowujących informacje o certyfikatach. Certyfikatów EV SSL wystawia się przecież znacznie mniej niż certyfikatów OV SSL i DV SSL razem wziętych. Zakładany rok przejściowy wydaje się jednak być rozsądnym okresem pozwalającym na przygotowanie nowej lub poprawienie już istniejącej infrastruktury.

Decyzja twórców Chrome z pewnością podniesie przejrzystość całego Web PKI. Nie uchroni co prawda przed błędnie wydanymi certyfikatami, ale pozwoli przynajmniej na szybsze ich wykrywanie.

PS. Decyzja Google zbiegła się z ogłoszeniem przez Mozillę utraty zaufania dla dwóch dużych urzędów certyfikacji. Przypadek…?

Podziel się:Share on Google+0Share on Facebook10Tweet about this on Twitter

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *