当前位置：首页 > news >正文

Web 安全之证书透明（Certificate Transparency）详解

news 2025/11/21 12:47:08

证书透明性的概念

数字证书和颁发机构

证书透明的起源

证书透明的工作原理

证书透明的实现方法

证书透明的优点

浏览器和客户端对证书透明的支持情况

小结

证书透明（Certificate Transparency, CT）是网络安全领域中的一个重要概念，是一个针对数字证书的公开监督系统，旨在增加 SSL/TLS 证书颁发和管理的透明性，防止证书颁发机构（Certificate Authorities, CAs）错误或恶意地颁发证书，从而增强互联网的安全性。本文将详细解释证书透明的概念、原理、实现方法和实际应用。

证书透明性的概念

证书透明性（Certificate Transparency）是一种用于监控和审计 SSL/TLS 证书颁发机构（CA）的行为的机制，通过记录和公开颁发的所有 SSL/TLS 证书，使得第三方可以验证证书的合法性和权威性，防止证书的滥用和欺诈行为的发生。

数字证书和颁发机构

数字证书是一种用于确认实体身份的电子凭证，包含了公钥、身份信息以及签名等信息。证书颁发机构（CA）是受信任的第三方机构，负责验证申请证书者的身份并颁发数字证书。

证书透明的起源

证书透明的概念是在2013年由 Google 提出，背景是互联网安全领域发生了几起重大的证书滥用事件。这些事件揭示了一个问题：CA 可能会被黑客入侵或者因内部问题等而错误地颁发证书甚至恶意颁发证书。这些不当的证书颁发行为可能会被用于中间人攻击，从而损害用户的数据安全和隐私。

证书透明的工作原理

SSL/TLS 证书颁发过程通常包括以下步骤：

申请者向 CA 提交申请，提供域名和公钥等信息。
CA 验证申请者身份和域名的合法性。
CA 使用自己的私钥对申请者的公钥和相关信息进行数字签名，生成证书。
CA 将证书颁发给申请者。

在这个过程中，如果 CA 滥用权力，颁发虚假证书，将对整个网络安全体系造成威胁。因此，证书透明性机制应运而生。证书透明要求所有的证书颁发操作都必须被记录和公开，实现对 CA 行为的监控和审计。日志记录必须具有以下特性：

不可篡改性：证书一旦被记录到日志中，就不能被修改或删除，以保证记录的可靠性。
可验证性：任何人都可以查询日志，验证其中记录的证书是否合法，以保证查询的公正性。
可审计性：任何人都可以对日志进行审计，验证是否符合规范要求，以保证审计的全面性。

证书透明的实现方法

建立公开的、可查询的证书日志系统，必须具备不可篡改性、可验证性和可审计性等特性。目前，比较知名的证书日志系统包括 Google 的 Certificate Transparency Logs 和 Mozilla 的 Public Key Pinning with HPKP。
将所有颁发的 SSL/TLS 证书记录到日志系统中，当 CA 颁发一个新的 SSL/TLS 证书时，必须在证书中包含一个指向公开日志系统的引用，以便将该证书记录到日志中。同时，CA 还需要将证书的哈希值提交给日志系统，以便进行查询和审计。
验证日志系统的合法性和权威性，客户端在查询日志时，需要验证日志系统的身份和授权信息，以确保其合法性和权威性。同时，客户端还需要验证日志系统中记录的证书是否与 CA 颁发的原始证书一致，以确保记录的准确性。

证书透明的优点

防止中间人攻击（MITM）：通过实现证书透明性，可以有效地防止中间人攻击（MITM）。因为可以查询公开的证书日志系统，验证网站使用的 SSL/TLS 证书是否合法。如果发现有异常情况，例如虚假证书或自签名证书，就可以及时采取措施阻止攻击行为。
检测 CA 滥用行为：实现证书透明还可以有效地检测 CA 的滥用行为，因为所有颁发的 SSL/TLS 证书都会被记录到公开的证书日志系统中，如果发现有大量虚假或欺诈性证书被颁发，就可以及时发现并采取措施追究相关责任人的法律责任。

浏览器和客户端对证书透明的支持情况

当先各家浏览器和许多客户端都已经支持证书透明，以下是一些主流浏览器的支持情况：

Google Chrome：Chrome 是最早推动证书透明度的浏览器之一。从版本 68 开始，Chrome 要求所有新的网站证书必须遵守证书透明度政策。Chrome 会检查证书中的 SCTs（时间戳证明，Signed Certificate Timestamps，SCT）并在发现问题时向用户显示警告信息。
Mozilla Firefox：Firefox 通过“安全连接失败”页面上的错误消息支持证书透明度。Firefox 不强制要求所有证书都符合证书透明度，但允许用户查看证书中的 SCTs 信息。
Apple Safari：Safari 也支持证书透明度，会检查网站证书中的 SCTs。在某些版本的 iOS 和 macOS 中，苹果要求所有新颁发的证书必须符合证书透明度要求。
Microsoft Edge：随着 Edge 转向 Chromium 内核，也继承了 Chrome 的证书透明支持。Edge 会对证书中的 SCTs 进行验证，并在发现问题时提供反馈信息。
Opera：由于 Opera 现在也是基于 Chromium 内核的，同样支持证书透明度，并会执行 SCTs 的验证。

对于非浏览器客户端，如 HTTP 客户端库或应用程序，对证书透明的支持可能会有所不同：

开发者库：有些开发库内置了对证书透明的支持，或者提供了相应的插件来实现这一功能。例如 OkHttp（一个流行的Java HTTP客户端库）从3.11.0版本开始支持证书透明。
操作系统级别：某些操作系统可能在系统级别提供了对证书透明的支持。例如 Android 7.0及更高版本允许开发者在应用的网络安全配置中指定证书透明度的要求。
独立客户端：独立的客户端应用程序可能需要自己实现对证书透明的支持，或依赖于操作系统或开发库来提供这一功能。

总的来说，现代浏览器对于证书透明度的支持已经相当广泛，而客户端库和应用程序对证书透明的支持则取决于具体实现和配置。

小结

证书透明通过提供一个开放的证书记录系统，显著提高了数字证书生态系统的安全性和透明度，证书透明正逐渐成为互联网安全的标准做法。

Web 安全之证书透明（Certificate Transparency）详解

证书透明性的概念

数字证书和颁发机构

证书透明的起源

证书透明的工作原理

证书透明的实现方法

证书透明的优点

浏览器和客户端对证书透明的支持情况

小结

相关文章：

Web 安全之证书透明（Certificate Transparency）详解

智能优化算法应用：基于蜻蜓算法无线传感器网络(WSN)覆盖优化 - 附代码

【古诗生成AI实战】之二——项目架构设计

动态网页从数据库取信息，然后展示。

单片机学习3——数码管

数据库表结构导出成Excel或Word格式

School training competition ( Second )

深度解析 Docker Registry：构建安全高效的私有镜像仓库

leetcode 不同的二叉搜索树

通俗易懂的spring Cloud；业务场景介绍二、Spring Cloud核心组件：Eureka 、Feign、Ribbon、Hystrix、zuul

大数据预处理技术

跳表的学习记录

电子学会C/C++编程等级考试2022年09月（二级）真题解析

如何使用nginx部署静态资源

lua的gc原理

redis作为缓存详解

231127 刷题日报

【Linux】vim-多模式的文本编辑器

Ubuntu 启用 root 用户

手摸手Element-ui路由VueRoute

智慧医疗能源事业线深度画像分析（上）

SciencePlots——绘制论文中的图片

云启出海，智联未来｜阿里云网络「企业出海」系列客户沙龙上海站圆满落地

uni-app学习笔记二十二---使用vite.config.js全局导入常用依赖

【SQL学习笔记1】增删改查+多表连接全解析（内附SQL免费在线练习工具）

ESP32 I2S音频总线学习笔记（四）： INMP441采集音频并实时播放

屋顶变身“发电站” ，中天合创屋面分布式光伏发电项目顺利并网！

ElasticSearch搜索引擎之倒排索引及其底层算法

Typeerror: cannot read properties of undefined (reading ‘XXX‘)

Aspose.PDF 限制绕过方案：Java 字节码技术实战分享（仅供学习）