2018年4月30日后,当用户通过Google Chrome 浏览器访问尚未在CT日志中登记SSL证书的HTTPS网站,Chrome浏览器将会显示全屏警告,告知用户其不符合CT标准。
今年2月初,Google工程师Devon O’Brien在Google网上论坛就发布了相关的消息:2018年4月30日后发布的所有TLS服务器证书必须符合Chromium CT策略。2018年5月起,当Chrome连接到不符合Chromium CT政策的公开信任证书网站时,用户将开始看到一整页插页式广告,并指出该连接不符合CT策略。通过不符合CT规范的https连接提供的子资源将无法加载,并会在Chrome DevTools中显示错误。
CT策略 Certificate Transparency,简称为CT,中文证书透明度。该政策是由谷歌主导并由 IETF 标准化为RFC 6962。证书透明度是一个开放的审计和监控系统,要求证书颁发机构公开宣布其颁发的每一个SSL证书,将其记录到证书日志中,可以让任何域名所有者或者证书颁发机构,确定证书是否被错误签发或者恶意使用,从而保障证书签发流程安全,强化SSL证书的可信度及HTTPS网站的安全性。
Google Chrome占据全球市场的60%,是互联网领先的浏览器厂商。近年来,Google利用其市场主导地位来推动更安全HTTPS加密协议。2016年,Google工程师提就出CT策略,希望加强HTTPS协议的应用策略之一。最初,CT策略实行自愿加入,但去年,全球多家CA机构存在多种错误颁发证书现象,影响范围甚广。因此,Google强制实施CT策略,旨在全面提高CA的标准。
CT日志记录策略规定数字证书认证机构(CA)必须要公布每天颁发的所有SSL证书。浏览器厂商、CA同行以及独立研究人员都能自由地随时调查CA机构是否存在错误签发的书。而作为国产证书的使命者GDCA自主颁发的SSL证书已全面支持CT日志记录策略,欢迎接受第三方的监督。
文章来源于https://www.trustauth.cn/news/security-news/25701.html