TrustAsia CT(证书透明服务)运营团队经过一年左右的构建和运营之后,于近日被纳入到 CT 生态联盟的可用日志列表中!在此,我们要感谢 Google、Cloudflare、DigiCert、Sectigo 和 Let's Encrypt 运行开放日志服务,同时,我们期待为网络安全的透明度做出更多的贡献!


CT ( 即Certificate Transparency,证书透明度 ) 目前已经发展成为了CA相关行业安全生态非常重要的一部分,适用于 Web 公钥基础设施。在此前提下,TrustAsia CT团队果断决定参与到社区建设中来。


10d4add1841805b497025f3fe8aee13f.jpg

 查询页面展示,详情可点击网页了解https://certificate.transparency.dev/logs/


CT有什么作用?

CT 位于更广泛的生态系统中,即 Web 公钥基础设施 ( Web PKI ),它允许非专家设置的安全、加密通信。如果没有加密,任何人都可以读取服务器和浏览器之间的通信。当生态系统运行良好时,该信息是私密的。

同时,CT 为支持 Web的SSL/TLS证书系统带来了透明度。SSL/TLS 协议是 HTTPS 和 Web PKI 的基础,缺乏透明度会削弱加密连接的可靠性和有效性,这可能会危及关键的 TLS/SSL 机制,因此,它们可以启用广泛的安全攻击,例如网站欺骗、服务器模拟和中间人攻击。

(想要了解CT日志是如何工作的,可点击以下链接查看:
https://certificate.transparency.dev/howctworks/


继Chrome 之后,TrustAsia CT运营团队还积极响应Apple证书透明度相关政策,严格遵循Apple证书透明度日志计划的相关要求,功夫不负有心人,近日 ,Apple 也将 TrustAsia CT纳入到合规日志服务列表中。


66fab88a682cc79466bf972c83dbe5b9.jpg

302a56931129de057e475d72cb596c5f.jpg

查询页面展示


2021 年第一季度,Apple 提出了自己的证书透明度日志计划,要求加入 Apple 证书透明度日志计划的日志必须满足以下所有要求:


  • 日志实例必须按照 RFC6962 中的规定来实施 CT。

  • 同一日志不得在不同时间并且/或向不同相关方呈现两个或更多相互冲突的墨克树视图。

  • 日志的最大合并延迟 (MMD) 为 24 小时。

  • 如果日志在 MMD 期限内为某个证书创建了 SCT,则日志必须包含这个证书。

  • 日志实例必须满足 Apple 对于正常运行时间要达到 99%(由 Apple 来衡量)的要求。

  • 日志的服务中断时长不能超过 MMD。

  • Apple 的合规性根 CA 会发放相应的证书,以监控日志对于相关政策的遵守情况;因此,日志必须接受这些证书。

  • 日志必须信任 Apple 受信任证书存储区内包含的所有根 CA 证书。日志可以信任 Apple 受信任证书存储区内可能并不包含的其他根证书。


   编后语   

此次TrustAsia CT被纳入CT生态可用日志列表和Apple合规日志服务列表,是亚洲诚信在网络安全领域技术和能力的体现,更是对TrustAsia CT运营团队专业技能的高度认可。不可否认的是,网络时代瞬息万变,连证书透明度已经从SSL生态系统中的“新成员”变成了现在的“重要成员”。伴随着数字化程度不断提高,数据的使用越来越繁琐,加密技术行业势必会面临更多技术上的挑战。未来,亚洲诚信的运营团队将坚持以核心技术为依托,用实力去做好产品,更好地服务于用户,不断引领网络安全技术创新,为整个行业的健康有序发展献出自己的一份力量。