Certificate Transparency SSL证书透明

Certificate Transparency SSL证书透明Certificate Transparency是什么Certificate Transparency（后面简称CT ）是google

Certificate Transparency SSL证书透明

Certificate Transparency是什么

Certificate Transparency（后面简称CT ）是google 提倡的为了提高SSL/TLS上更高信赖度的新技术。现在已被RFC 化（RFC6962），用于防止证书的误发行的技术而备受注目。

CT 是起着每当CA 机构签发证书，将所有的证书的签发行为都记录到审计日志作用的。主要是网站运营者，域名管理者之类的可以通过这个审计日志服务器来确认自己的域名对应的证书有无被其他CA 机构签发。以此来防止非正常签发的可信证书被他人滥用。 虽然CT 看起来仅仅起着提高证书的可信赖度，但并不意味着没有CT 的其他的证书检测不可信。

CT 的基本原理

CA 一旦向审计日志服务器提供证书，审计日志服务器就返回Signed Certificate

Timestamp （以下简称SCT ，证书签署时间戳）。SCT

是审计日志服务器在特定的时间内

（Maximum Merge Delay（MMD ）称为最大延迟周期）用于保证证书数据格式化的时间戳信息。Web 服务器之类的tls 服务器将从审计日记里取得SCT ，然后与证书一起在浏览器之类的tls 客户端里给出提示。这样，Tls 客户端就会根据获取的证书和SCT 来确认审计日志中是否有该证书的记录。

网站使用者受到的关于CT 的影响

Google Chrome已经有加入CT 的检测功能，可以表示出SSL 服务器证书是否符合CT 标准（验证的话等于登录）。如果是未被证实在审计日志上有记录的证书的话，则会提示“服务器未提供任何CT 信息”。

未增加

CT

增加了CT

CT 的发展史

Google 不久前宣布了chrome 浏览器对CT 的兼容路线。

有效期超过2015年1月的全部EV SSL证书（包含已发售的）的信息，

有必要至少到审

计日志去注册一下，用以加入白名单。

Google 公司在2015年1月1日后，已发行的不带SCT 的EV SSL证书将做成一个白名单。

2015年2月1日以后，chrome 将会对那些没在白名单上注册且没注册CT 的EV SSL证书不会有EV 的固有表现（即不在绿色地址栏里显示组织名）。

另外：3月30日后，满足以下条件的话，chrome 将使EV SSL证书不再像之前的绿色地址栏中显示公司名，和普通的ssl 服务器证书相同的显示。但其它的浏览器中能正常显示EV 效果。

条件1：2015年1月1日以后发行的

条件2：没有注册CT

条件3：google chrome41以后版本

所以，为了EV SSL证书能在绿色地址栏里正常展现公司名，有必要注册下CT 。赛门铁克也在2014年12月提供对应的是否注册CT 的可选项（默认是带CT ）。

出品人：亚洲诚信