証明書の透明性を作品

その他 2019-11-03 17:02:52 訪問数: null

ディレクトリ

译:どのように証明書の透明作品

透明証明書は、現在のSSL証明書システムのための3つの新しい機能コンポーネントを追加します。

  • 証明書ログイン
  • 証明書の監視
  • 監査証明書

これらの機能コンポーネントは、個別のソフトウェアモジュールは、追加の監視および監査サービスを提供することができ表します。彼らはありませんオプションとして、現在のSSL証明書システムに代わるものではありません。ドメインを確認し、サーバへの安全な接続を確立するために、クライアント - 実際には、これらのコンポーネントは、信頼モデルの根底にあるチェーンを変更しないでください。代わりに、公共の監督システムを通じてこれらのコンポーネントは、全体のSSL証明書をサポートし、レビューは信頼モデルのチェーンを拡大しました

ログの基本的な機能

透明中央システムは、証明書、証明書のログということです。ある日、証明書ログSSL証明書の記録を保存し、簡単なWebサービスです。三つの重要な特徴があります。証明書はログインします。

  • 唯一の追加 - 証明書は、ログに追加することができ、証明書は、削除、変更、または遡及ログに挿入することができません。
  • 暗号化は確認 - 改ざんを防止するために、特別なマークル木ハッシュ暗号化メカニズムを使用してログインし、凹凸を。
  • 公開レビュー - 誰でもログを照会し、ログの動作を確認するか、SSL証明書が正しくログに追加されたことを確認することができます。

例えば、10以上が、はるかに少ないより1000 - 困難な変化を監視するために十分なことをログログ一時的な中断または失敗を確保する必要性を、しかし、それほどではない:ログの数はあまり必要ありません。それぞれの動作は、他のログから独立してログ(つまり、ログ間の自動複製が存在しません)。

ログを補完するだけの暗号ハッシュの特殊なタイプの使用は、ログが損傷していないことを確認することができ、このログは、すべての証明書の操作を削除または変更されていません。この特定のハッシュ--MerkleツリーHash--も、誰かがログインする期限切れの証明書をフォークまたは注入された場合は、監査ログを見つけることができます。参照するための機構をハッシュの詳細については、証明書の透明性ログ作品

各証明書は、公然とそのURLと(他のものに加えて)公開鍵を公開してログインする必要があります。誰もがHTTPSを介しすることができますGETし、POSTメッセージが相互作用を記録します。

ブログの操作

誰もが認証局の証明書のほとんどが提出され、サーバーオペレータされていても、ログに証明書を提出することができます。ログに有効な証明書を提出する際、ログイン(署名証明書のタイムスタンプSCTの応答を。SCTは、単純な保証一定の期間を追加するにはログインする証明書です。この時間を参照する最大合成遅延(MMD)

MMDは、合理的な期間内のログサーバがログに証明書を追加して、分散サービスを実行しているの回復力と可用性へのロギングを可能にしながら、公開した証明書をブロック使用しないことを保証するのに役立ちます。証明書のライフサイクル全体に沿ってSCT。具体的には、TLSサーバがTLSハンドシェイクと証明書SCTの間に一緒に送達されなければなりません。

透明は、証明書、次のように説明した各で配信三つの方法のSCT証明書をサポートしています。

X.509v3拡張

認証局(CA)証明書に添付のX.509v3拡張SCTを使用します。図は、ワークフローを示しています。認証局は、事前認証ログを提出するとログがSCTを返します。次いで、CA SCTとしてX.509v3事前認証に付加拡張は、証明書に署名するために、証明書は、次に、オペレータに配信されます。

事業者はいつものように自分のSSL証明書を管理し続けることができるように、この方法では、サーバーを変更する必要はありません。

TLS拡張

オペレータは、配信SCT(図2)拡張特別なTLSを使用することができます。この場合、CAは、サーバーオペレータに証明書を発行するために、サーバーオペレータは、ログに証明書を提出します。ログSCTは、オペレータに戻り、その後、TLSの間に手を振る、署名タイムスタンプ(と事業者は証明書を使用しますsigned_certificate_timestamp)SCTをクライアントに配信されます。

この方法では、SSL証明書を発行した双方向CAは変更されません。しかし、まだ変更を行うためにTLSサーバの拡張機能に適応する必要があります。
www.wityx.com

OCSP綴じ

:オペレータはまた、オンライン証明書状態プロトコル(OCSP使用することができ
SCT(図2)を提供するために結合オンライン証明書状態プロトコルを)。この場合、CAは、その後、CA、CAへのOCSP問い合わせにオペレータがSCTを返すために、ログインするサーバーとオペレータ証明書を発表し、サーバー間、SCT TLSハンドシェイクは、OCSP拡張に含まれます。

この方法では、CAが非同期SCTを受信するので、それがある、SCTにCAが責任を負うことができますが、証明書の制定を遅らせることはできません。ただし、OCSPのステイプルを実行するサーバーを変更する必要があります。

モニターおよび監査の基本的な操作

不審な証明書の監視ログを監視し、不規則な、違法または不正な証明書の拡張、または(例えば、CA証明書)奇妙な機関の証明書として証明書。すべての証明書はまた、ログに見える記録監視することを確認します。これは、定期的にこれを行うには、ログ内のすべての新しいエントリを取得することで追加されました。そのため、モニターのほとんどは完全にログを監視するために複製することができます。ログには、長い時間のためにオフラインになっている、とモニタは雑誌記事のコピーを持っている場合、モニタは読み取り専用のバックアップログとして使用され、他のモニターおよび監査のログを照会するためにデータを記録することができます。

全体的な監査ログの整合性を確認してください。いくつかの監査はまた、特定の証明書ログがあることを確認します。それを証明するためにログを取得し、検証し、定期的にすることによってこれを行います。ログは、ハッシュ署名がログの良いことを証明しなければならなかった、暗号化することが判明しました。各ログはそのログの需要が証明する必要があります。

証明監査ログは、新しいエントリが古いログエントリに追加されたログを確認するために使用することができ、かつ誰もさかのぼって、挿入しないで、削除、またはログを損傷するための証明書を変更することができます。また、特定の証明書ログを検証するために証明した監査ログを使用してください。すべての透明フレームのSSL証明書の証明書のニーズがログに登録されているので、これは、特に重要です。
TLSクライアントが判断した場合(監査を通じて)ログが何も証明されていないSCTの証拠が正常に実行されていないとして、あなたはログにログを使用することができます。詳細についての証拠見にログオン透明ログ作品の証明書を

監査ログが証明が確認または特定のログ・ビューと前整合性の表示を監視することを可能にするが、それらはまた、特定のログのビューを確認するために一貫性および他のモニターおよび監査を必要とします。便宜上、人づてに情報交換プロトコルをログ監視および監査するために証明しました。モニターおよび監査ログを支援するための非同期通信パスが見つかり二股。

典型的なシステム構成

証明書の透明性フレームワークは、既存のSSL証明書システムの監視と見直しの任意の特定の構成や位置を指定していません。つまり、いくつかの設定は、他の構成よりも一般的です。典型的な構成において、CA機能モニタクライアント(ブラウザ)ランニング監査(図3)。この構成は、モニタリングや監査の間で必要な情報を簡素化し、顧客やユーザーの特定のニーズを満たすために、認証局やクライアント開発の監視と監査システムをしましょう。ここでプロセス駆動型の構成の一部です。

証明書制定

CA SCTはによって、ログを取得したX.509v3SSL証明書(詳細手順図1参照)に組み込まれた拡張SCT。次に、(SCT付き)サーバオペレータへのCA証明書を制定しました。このアプローチには、サーバーの更新を必要としません(サーバーが現在のすべてのサポートX.509v3拡大を)、およびSSL証明書の管理は自分の証明書を管理するのと同じ方法で、サーバーオペレータをしましょう。

TLSハンドシェイク

TLSハンドシェイク中に、TLSクライアントは、SCTのSSL証明書と証明書を受け取ります。通常、TLSクライアント認証証明書と署名チェーン。また、SCTのTLSクライアント認証ログの署名が、SCTは、有効なログによって公開されていることを確認するため、およびSCTは、実際に証明書(非その他の証明書)のために制定されています。奇妙がある場合は、TLSクライアントが抗議することがあります。例えば、TLSクライアントは通常、SCTのタイムスタンプは、まだ発効していない抗議します。

証明書の監視

認証局が運営するほとんどのモニタ。構成により、認証機関が効果的に自分の特定のカスタマイズされた監視基準や要件に従って構築モニター。

監査証明書

監査のほとんどは、ブラウザに組み込まれていてもよいです。この構成では、ブラウザの統合されたコンポーネントにバッチSCTの認証を送信し、これらのSCT(および対応する証明書を)聞いてきますが正しくログに追加されます。監査ログに従い、検証を取得するために非同期に実行。

他のシステム構成

監視および既存のTLS / SSLコンポーネントが緊密に統合された監査一般的な構成、透明証明書に加えて、他の様々な構成をサポートします。例えば、監査は、有料または未払いサービス(図4)と認証局サーバのオペレータを提供する別個のエンティティとして実行することができます。監視サーバはまた、Google、マイクロソフト、またはYahooのような事業者、大インターネット企業で実行することができます。同様に、デザインは独立したサービスが、また、セカンドモニタの機能として実行することができます。

おすすめ

転載: www.cnblogs.com/wuliaojava/p/11787831.html
おすすめ
ランキング
--- ELオプションを搭載するテンプレートを指定するオプションをレンダリング別テンプレート/使用を指定するためのオプションを使用して、インラインテンプレート/テンプレートの使用を指定するために、テンプレート/テンプレートオプションを使用してテンプレートを指定します
0216leetcodeはPythonで5つの質問をブラシします
ショック!七つの子どもたちは魂を拷問しました!暴露子どもたちはインサイダーを振っプログラム!
ターゲット属性タグをhtmlの
Linuxビルドnacosスタンドアロンバージョンとクラスター
Cálculo experimental da renda simulada de investimento fixo do fundo
Kali Linux は VMware ツールをインストールします (vmtools ボタンは灰色です)
程序员洞察报告:90后占比过半 搜索算法等岗位人才短缺
【Java基礎シリーズチュートリアル】第17章 Javaアノテーション
Javaでの空白を入力できないようにユーザー
アーカイブ
もっと
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)

コードワールド

© 2018 codetd.com