从2018年4月30日开始,证书透明度政策正式开始强制执行。


从2018年4月30日开始,谷歌要求所有证书机构在证书透明度(Certificate Transparency,以下简称CT)日志中记录其所颁发的SSL数字证书。如果不这样做,就会导致浏览器报警,警告用户你的网站的证书不符合CT要求。


“Chrome将要求所有在2018年4月30日之后颁发的TLS服务器证书符合Chromium CT政策的要求。即日起,当Chrome连接到一个拥有公共证书,但这个证书不符合Chromium CT政策要求时,用户就会看到一个全屏警告画面,暗示他们其连接不符合CT要求。通过不符合CT要求的https来进行连接的子资源将无法加载,同时在Chrome DevTools中也会显示一条错误信息。”


其他浏览器已经承诺会效仿此做法,但是考虑到谷歌浏览器的市场份额(约60%的网络用户),谷歌采用CT政策的决定已经使得这一做法成为强制性的了。


什么是证书透明度?


证书透明度(Certificate Transparency )是一种记录CA机构颁发的数字证书的机制,以便更好地防止错误颁发、协助撤销事宜。几年前,有一篇关于此的文章,以下是它的要点:


“证书透明度(CT )是一种能够帮助域名所有者和行业监察员检测错误颁发的机制。它是一个公共可访问的、对已颁发证书进行记录的日志。该日志会列出所有证书的信息,因此任何感兴趣的人都可以检查。实际上,由于SSL生态系统规模庞大——每年会颁发成千上万的证书——多日志是需要的。”


对CAA记录的要求限制了哪个CA机构能够为哪种域名颁发证书。与CAA记录一起,CT记录代表着向更加安全的互联网迈进了大胆的一步。CT记录使得CA机构的责任更大,并能在雪球越滚越大之前,帮助监察员发现问题。


谷歌推动证书透明政策已经有一段时间了。开始它是自愿的,然后在CA犯了一些错,进行了几次错误颁发后,才强制他们加入。众所周知,由于出现了几次错误的颁发,赛门铁克最后同意记录其证书。但是在此之前,除了EV证书和自愿参与的情况之外,CT并不是一个行业标准。谷歌致力于改变这种情况已经有一段时间了,他们甚至在去年还将截止日期进行了延迟,以给CA更多的准备时间。


然而,时间到了。记录证书现在已经是一个所有CA都必须满足的要求了。


为满足证书透明度要求,我需要采取哪些措施?


除非你在运行一个证书机构,你什么都不需要做。这是一个只会影响颁发证书机构的行业变化,因此如果你只是一个代理商,你不用担心什么。同样对终端用户也是如此。此外,如果你的SSL证书是在2018年4月30日之前颁发的且未进行记录,那么它们是不会受到任何影响的。该变化不具有追溯效力。


但是接下来,CA必须在证书透明日志中记录所有SSL证书,以免收到浏览器警告。