Web 安全之证书透明(Certificate Transparency)详解
目录
证书透明性的概念
数字证书和颁发机构
证书透明的起源
证书透明的工作原理
证书透明的实现方法
证书透明的优点
浏览器和客户端对证书透明的支持情况
小结
证书透明(Certificate Transparency, CT)是网络安全领域中的一个重要概念,是一个针对数字证书的公开监督系统,旨在增加 SSL/TLS 证书颁发和管理的透明性,防止证书颁发机构(Certificate Authorities, CAs)错误或恶意地颁发证书,从而增强互联网的安全性。本文将详细解释证书透明的概念、原理、实现方法和实际应用。
证书透明性的概念
证书透明性(Certificate Transparency)是一种用于监控和审计 SSL/TLS 证书颁发机构(CA)的行为的机制,通过记录和公开颁发的所有 SSL/TLS 证书,使得第三方可以验证证书的合法性和权威性,防止证书的滥用和欺诈行为的发生。
数字证书和颁发机构
数字证书是一种用于确认实体身份的电子凭证,包含了公钥、身份信息以及签名等信息。证书颁发机构(CA)是受信任的第三方机构,负责验证申请证书者的身份并颁发数字证书。
证书透明的起源
证书透明的概念是在2013年由 Google 提出,背景是互联网安全领域发生了几起重大的证书滥用事件。这些事件揭示了一个问题:CA 可能会被黑客入侵或者因内部问题等而错误地颁发证书甚至恶意颁发证书。这些不当的证书颁发行为可能会被用于中间人攻击,从而损害用户的数据安全和隐私。
证书透明的工作原理
SSL/TLS 证书颁发过程通常包括以下步骤:
- 申请者向 CA 提交申请,提供域名和公钥等信息。
- CA 验证申请者身份和域名的合法性。
- CA 使用自己的私钥对申请者的公钥和相关信息进行数字签名,生成证书。
- CA 将证书颁发给申请者。
在这个过程中,如果 CA 滥用权力,颁发虚假证书,将对整个网络安全体系造成威胁。因此,证书透明性机制应运而生。证书透明要求所有的证书颁发操作都必须被记录和公开,实现对 CA 行为的监控和审计。日志记录必须具有以下特性:
- 不可篡改性:证书一旦被记录到日志中,就不能被修改或删除,以保证记录的可靠性。
- 可验证性:任何人都可以查询日志,验证其中记录的证书是否合法,以保证查询的公正性。
- 可审计性:任何人都可以对日志进行审计,验证是否符合规范要求,以保证审计的全面性。
证书透明的实现方法
- 建立公开的、可查询的证书日志系统,必须具备不可篡改性、可验证性和可审计性等特性。目前,比较知名的证书日志系统包括 Google 的 Certificate Transparency Logs 和 Mozilla 的 Public Key Pinning with HPKP。
- 将所有颁发的 SSL/TLS 证书记录到日志系统中,当 CA 颁发一个新的 SSL/TLS 证书时,必须在证书中包含一个指向公开日志系统的引用,以便将该证书记录到日志中。同时,CA 还需要将证书的哈希值提交给日志系统,以便进行查询和审计。
- 验证日志系统的合法性和权威性,客户端在查询日志时,需要验证日志系统的身份和授权信息,以确保其合法性和权威性。同时,客户端还需要验证日志系统中记录的证书是否与 CA 颁发的原始证书一致,以确保记录的准确性。
证书透明的优点
- 防止中间人攻击(MITM):通过实现证书透明性,可以有效地防止中间人攻击(MITM)。因为可以查询公开的证书日志系统,验证网站使用的 SSL/TLS 证书是否合法。如果发现有异常情况,例如虚假证书或自签名证书,就可以及时采取措施阻止攻击行为。
- 检测 CA 滥用行为:实现证书透明还可以有效地检测 CA 的滥用行为,因为所有颁发的 SSL/TLS 证书都会被记录到公开的证书日志系统中,如果发现有大量虚假或欺诈性证书被颁发,就可以及时发现并采取措施追究相关责任人的法律责任。
浏览器和客户端对证书透明的支持情况
当先各家浏览器和许多客户端都已经支持证书透明,以下是一些主流浏览器的支持情况:
- Google Chrome:Chrome 是最早推动证书透明度的浏览器之一。从版本 68 开始,Chrome 要求所有新的网站证书必须遵守证书透明度政策。Chrome 会检查证书中的 SCTs(时间戳证明,Signed Certificate Timestamps,SCT)并在发现问题时向用户显示警告信息。
- Mozilla Firefox:Firefox 通过“安全连接失败”页面上的错误消息支持证书透明度。Firefox 不强制要求所有证书都符合证书透明度,但允许用户查看证书中的 SCTs 信息。
- Apple Safari:Safari 也支持证书透明度,会检查网站证书中的 SCTs。在某些版本的 iOS 和 macOS 中,苹果要求所有新颁发的证书必须符合证书透明度要求。
- Microsoft Edge:随着 Edge 转向 Chromium 内核,也继承了 Chrome 的证书透明支持。Edge 会对证书中的 SCTs 进行验证,并在发现问题时提供反馈信息。
- Opera:由于 Opera 现在也是基于 Chromium 内核的,同样支持证书透明度,并会执行 SCTs 的验证。
对于非浏览器客户端,如 HTTP 客户端库或应用程序,对证书透明的支持可能会有所不同:
- 开发者库:有些开发库内置了对证书透明的支持,或者提供了相应的插件来实现这一功能。例如 OkHttp(一个流行的Java HTTP客户端库)从3.11.0版本开始支持证书透明。
- 操作系统级别:某些操作系统可能在系统级别提供了对证书透明的支持。例如 Android 7.0及更高版本允许开发者在应用的网络安全配置中指定证书透明度的要求。
- 独立客户端:独立的客户端应用程序可能需要自己实现对证书透明的支持,或依赖于操作系统或开发库来提供这一功能。
总的来说,现代浏览器对于证书透明度的支持已经相当广泛,而客户端库和应用程序对证书透明的支持则取决于具体实现和配置。
小结
证书透明通过提供一个开放的证书记录系统,显著提高了数字证书生态系统的安全性和透明度,证书透明正逐渐成为互联网安全的标准做法。
相关文章:
详解){kind=spacer}
Web 安全之证书透明(Certificate Transparency)详解
目录 证书透明性的概念 数字证书和颁发机构 证书透明的起源 证书透明的工作原理 证书透明的实现方法 证书透明的优点 浏览器和客户端对证书透明的支持情况 小结 证书透明(Certificate Transparency, CT)是网络安全领域中的一个重要概念ÿ…...
智能优化算法应用:基于蜻蜓算法无线传感器网络(WSN)覆盖优化 - 附代码
智能优化算法应用:基于蜻蜓算法无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用:基于蜻蜓算法无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.蜻蜓算法4.实验参数设定5.算法结果6.参考文献7.MATLAB…...
【古诗生成AI实战】之二——项目架构设计
[1] 项目架构 在我们深入古诗生成AI项目的具体实践之前,让我们首先理解整个项目的架构。本项目的代码流程主要分为三个关键阶段: 1、数据处理阶段; 2、模型训练阶段; 3、文本生成阶段。 第一步:在数据处理阶段…...
动态网页从数据库取信息,然后展示。
把数据库的驱动放在bin目录下。 通过servlet 读取数据库的内容,生成session,然后跨页面传给展示页。 package src;import java.io.IOException; import java.io.PrintWriter; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSe…...
单片机学习3——数码管
数码管,根据内部结构,可分为共阴极数码管和共阳极数码管。七段发光管加上一个小数点,共计8段。因此,我们对它编程的时候,刚好是用一个字节。 数码管的显示方式: 1)静态显示; 2&…...
数据库表结构导出成Excel或Word格式
前言 该工具主要用于导出excel、word,方便快速编写《数据库设计文档》,同时可以快速查看表的结构和相关信息。 本博客仅作记录,最新源码已经支持多种数据库多种格式导出,有兴趣的可移步源码作者地址:https://gitee.co…...
School training competition ( Second )
A. Medium Number 链接 : Problem - 1760A - Codeforces 就是求三个数的中位数 : #include<bits/stdc.h> #define IOS ios::sync_with_stdio(0);cin.tie(0);cout.tie(0); #define endl \nusing namespace std; typedef long long LL; const int N 2e510;inline void …...
深度解析 Docker Registry:构建安全高效的私有镜像仓库
文章目录 什么是Docker Registry?Docker Hub vs. 私有RegistryDocker Hub:私有Registry: 如何构建私有Docker Registry?步骤一:安装Docker Registry步骤二:配置TLS(可选)步骤三&…...
leetcode 不同的二叉搜索树
给你一个整数 n ,求恰由 n 个节点组成且节点值从 1 到 n 互不相同的 二叉搜索树 有多少种?返回满足题意的二叉搜索树的种数。 示例 1: 输入:n 3 输出:5 示例 2: 输入:n 1 输出:…...
通俗易懂的spring Cloud;业务场景介绍 二、Spring Cloud核心组件:Eureka 、Feign、Ribbon、Hystrix、zuul
文章目录 通俗易懂的spring Cloud一、业务场景介绍二、Spring Cloud核心组件:Eureka三、Spring Cloud核心组件:Feign四、Spring Cloud核心组件:Ribbon五、Spring Cloud核心组件:Hystrix六、Spring Cloud核心组件:Zuul七…...
大数据预处理技术
文章目录 前言 大数据技术成为前沿专业 也是现在甚至未来的朝阳产业,大数据有分别是 数据预处理 数据存储 大数据处理和分析 数据可视化 部分组成 ,大数据行业有数据则称王,大数据的核心是数据本身 怎么获取有价值的数据呢?本章讲…...
跳表的学习记录
跳表(Skip List)是一种数据结构,它通过在多个层次上添加额外的前向指针来提高有序数据的搜索效率。跳表与其他常见的有序数据结构(如二叉搜索树、平衡树如AVL树和红黑树、B树等)相比,具有其独特的优缺点&am…...
电子学会C/C++编程等级考试2022年09月(二级)真题解析
C/C++等级考试(1~8级)全部真题・点这里 第1题:统计误差范围内的数 统计一个整数序列中与指定数字m误差范围小于等于X的数的个数。 时间限制:5000 内存限制:65536输入 输入包含三行: 第一行为N,表示整数序列的长度(N <= 100); 第二行为N个整数,整数之间以一个空格分…...
如何使用nginx部署静态资源
Nginx可以作为静态web服务器来部署静态资源,这个静态资源是指在服务端真实存在,并且能够直接展示的一些文件数据,比如常见的静态资源有html页面、css文件、js文件、图片、视频、音频等资源相对于Tomcat服务器来说,Nginx处理静态资…...
lua的gc原理
lua垃圾回收(Garbage Collect)是lua中一个比较重要的部分。由于lua源码版本变迁,目前大多数有关这个方面的文章都还是基于lua5.1版本,有一定的滞后性。因此本文通过参考当前的5.3.4版本的Lua源码,希望对Lua的GC算法有一个较为详尽的探讨。 L…...
redis作为缓存详解
目录 前言: 为什么说关系型数据库性能不高 如何提高MySQL并发量 缓存更新策略 定期更新 实时更新 内存淘汰策略 Redis内置的淘汰策略 缓存常见问题 缓存预热 缓存穿透 缓存雪崩 缓存击穿 前言: 对于缓存的理解,缓存目的就是为了…...
231127 刷题日报
这周值班。。多少写道题吧,保持每天的手感。老婆给买了lubuladong纸质书,加油卷。 1. 131. 分割回文串 写个这个吧,钉在耻辱柱上的题。 为啥没写出来: 1. 递归树没画对 把树枝只看做是1个字母,而且不清楚树枝和节点…...
【Linux】vim-多模式的文本编辑器
本篇文章内容和干货较多,希望对大家有所帮助👍 目录 一、vim的介绍 1.1 vi 与 vim的概念1.2 Vim 和 Vi 的一些对比 二、vim 模式之间的切换 2.1 进入vim2.2 [正常模式]切换到[插入模式]2.3 [插入模式]切换至[正常模式]2.4 [正常模式]切换至[底行模式…...
Ubuntu 启用 root 用户
在启用 root 用户之前,我们先来了解一下, ubuntu 命令的组成。 打开 ubuntu 的终端,现在的命令行是由 topeetubuntu:~$ 这几个字母组成,那么这几个字母都代表 什么意思呢? topeet …...
手摸手Element-ui路由VueRoute
后端WebAPI准备 https://router.vuejs.org/zh/guide/ https://v3.router.vuejs.org/zh/installation.html <template><el-table:data"tableData"style"width: 100%":row-class-name"tableRowClassName"><!-- <el-table-colum…...
从深圳崛起的“机器之眼”:赴港乐动机器人的万亿赛道赶考路
进入2025年以来,尽管围绕人形机器人、具身智能等机器人赛道的质疑声不断,但全球市场热度依然高涨,入局者持续增加。 以国内市场为例,天眼查专业版数据显示,截至5月底,我国现存在业、存续状态的机器人相关企…...
分布式增量爬虫实现方案
之前我们在讨论的是分布式爬虫如何实现增量爬取。增量爬虫的目标是只爬取新产生或发生变化的页面,避免重复抓取,以节省资源和时间。 在分布式环境下,增量爬虫的实现需要考虑多个爬虫节点之间的协调和去重。 另一种思路:将增量判…...
DeepSeek 技术赋能无人农场协同作业:用 AI 重构农田管理 “神经网”
目录 一、引言二、DeepSeek 技术大揭秘2.1 核心架构解析2.2 关键技术剖析 三、智能农业无人农场协同作业现状3.1 发展现状概述3.2 协同作业模式介绍 四、DeepSeek 的 “农场奇妙游”4.1 数据处理与分析4.2 作物生长监测与预测4.3 病虫害防治4.4 农机协同作业调度 五、实际案例大…...
Device Mapper 机制
Device Mapper 机制详解 Device Mapper(简称 DM)是 Linux 内核中的一套通用块设备映射框架,为 LVM、加密磁盘、RAID 等提供底层支持。本文将详细介绍 Device Mapper 的原理、实现、内核配置、常用工具、操作测试流程,并配以详细的…...
在QWebEngineView上实现鼠标、触摸等事件捕获的解决方案
这个问题我看其他博主也写了,要么要会员、要么写的乱七八糟。这里我整理一下,把问题说清楚并且给出代码,拿去用就行,照着葫芦画瓢。 问题 在继承QWebEngineView后,重写mousePressEvent或event函数无法捕获鼠标按下事…...
【JVM】Java虚拟机(二)——垃圾回收
目录 一、如何判断对象可以回收 (一)引用计数法 (二)可达性分析算法 二、垃圾回收算法 (一)标记清除 (二)标记整理 (三)复制 (四ÿ…...
elementUI点击浏览table所选行数据查看文档
项目场景: table按照要求特定的数据变成按钮可以点击 解决方案: <el-table-columnprop"mlname"label"名称"align"center"width"180"><template slot-scope"scope"><el-buttonv-if&qu…...
用鸿蒙HarmonyOS5实现中国象棋小游戏的过程
下面是一个基于鸿蒙OS (HarmonyOS) 的中国象棋小游戏的实现代码。这个实现使用Java语言和鸿蒙的Ability框架。 1. 项目结构 /src/main/java/com/example/chinesechess/├── MainAbilitySlice.java // 主界面逻辑├── ChessView.java // 游戏视图和逻辑├──…...
Kubernetes 节点自动伸缩(Cluster Autoscaler)原理与实践
在 Kubernetes 集群中,如何在保障应用高可用的同时有效地管理资源,一直是运维人员和开发者关注的重点。随着微服务架构的普及,集群内各个服务的负载波动日趋明显,传统的手动扩缩容方式已无法满足实时性和弹性需求。 Cluster Auto…...
React从基础入门到高级实战:React 实战项目 - 项目五:微前端与模块化架构
React 实战项目:微前端与模块化架构 欢迎来到 React 开发教程专栏 的第 30 篇!在前 29 篇文章中,我们从 React 的基础概念逐步深入到高级技巧,涵盖了组件设计、状态管理、路由配置、性能优化和企业级应用等核心内容。这一次&…...