谷歌发起证书透明度,提高HTTPS网站安全性

当前互联网，信息泄露事件频发，信息安全问题越加严峻，很多站点开始通过部署SSL服务器证书来认证网站身份和进行流量加密，避免钓鱼网站和信息泄露的危害。SSL服务器证书是由数字证书管理机构(简称CA)签发的，CA是一个受信任的第三方组织，负责发布和管理SSL服务器证书。

全球有数百个受信任的CA，他们中的任何一个都有权利为你的网站域名颁发有效的SSL服务器证书。但大部分人却不知道，部分CA系统可能存在漏洞，并导致一些伪造的SSL服务器证书流入网络，威胁互联网的安全。

近几年SSL服务器证书伪造事件

去年，谷歌发现赛门铁克在Google不知情下为Google域名颁发了有效期一天的预签证书。这样的事情已经不是第一次发生了，部分CA的权利被滥用或者是错误地被用于发布伪造的SSL服务器证书，这样的举动使数百万互联网用户的隐私处于危险之中。

2011年3月，一名黑客入侵了Comodo公司，偷走了七个Web域共9个SSL服务器证书，包括：mail.google.com、addons.mozilla.org和login.yahoo.com 等。在同一年，荷兰的CA机构DigiNotar同样遭到了黑客入侵，颁发了大量的伪造证书。由于这些伪造证书，数百万用户遭到了中间人攻击。例如斯诺登泄露的文件中透露：美国国家安全局就利用一些CA颁发的伪造SSL服务器证书，截取和破解了大量HTTPS加密网络会话。

提高SSL服务器证书的透明度

DigiNotar、Comodo、赛门铁克等公司的事件为我们敲响了警钟，也结束了人们盲目信任CA的时代。那么，你如何发现是否有指向你域名的伪造SSL服务器证书被发行给他人，甚至是被攻击者所利用呢?

一个有效的方法就是CA要及时公开所签发证书的数据，也就是提高证书的透明度，让我们可以通过比对数据及时确定证书的真伪。于是在2013年，谷歌发起了这一名为证书透明度(Certificate Transparency，简称CT)的项目。这一项目的目标是提供一个开放的审计和监控系统，可以让任何域名所有者或者CA确定证书是否被错误签发或者被恶意使用，从而提高HTTPS网站的安全性。

注：加入证书透明度项目的SSL服务器证书将获得浏览器额外的信息佐证，可查看Certificate information(透明度信息)

CT项目要求CA公开其颁发的每一个数字证书的数据，并将其记录到证书日志中。值得注意的是，证书透明度项目并没有替代传统的以CA为基础的鉴定验证程序，它只是提供给你一个查询途径，让你可以确保你的证书是独一无二的。

证书透明度将让人们可以快速地识别出被错误或者恶意颁发的数字证书，以此来缓解可能会出现的安全问题，例如中间人攻击。今年早些时候，证书透明度系统和监控服务帮助facebook安全团队提前检测到了多个fb.com子域的伪造证书。

注：未公开透明度信息的SSL服务器证书浏览器信息

注：已公开透明度信息的SSL服务器证书浏览器信息

中国品牌CA沃通(WoSign)紧跟国际先进技术，早在2015年8月就已经成功升级PKI/CA系统支持Certificate Transparency(证书透明度)，是国内唯一一家最早支持Google CT最新规范的CA。

文章来源：互联网,文章链接http://www.wosign.com/News/Google-CT.htm

相关资讯：

谷歌HTTPS透明度报告

沃通CA部署CT系统支持Google安全新规