在推行证书透明度相关政策的早期,并没有太多CT日志运营者加入其中。这个前提迫使Google规定所有的证书必须记录到至少一个由Google运营的日志中。2021年3月起,Chrome浏览器部署并继续改善SCT审计,以期提供额外的安全保障,且无论证书的记录位置。自2022年4月开始,Chrome将使用新的CT策略,取消了“One Google Log”的要求。

在读懂这一要求之前,我们要先明白,CT(证书透明度)是用于监控和审计数字证书的Internet安全标准,该标准创建了一个公共日志系统,旨在最终记录由公共信息的证书颁发机构颁发的所有证书,从而有效地识别错误或者恶意颁发的证书。

在2022年4月份计划被推出的Chrome100中提出:从2022年4月15日起,Chrome将不再要求TLS证书必须录入Google运行的CT日志才能成功验证;同时,自2022年4月15日或之后颁发的数字证书且SCT中的证书有效期超过180天,必须包含至少3个来自不同CT日志的SCT。这对于CT生态系统来说是一大进步。

目前已经被认可并纳入到 CT 生态联盟的可用日志列表的机构有Google、DigiCert、亚洲诚信TrustAsia等。

Google Chrome 100将取消“One Google Log”要求

已被纳入到 CT 生态联盟的可用日志列表的全部机构展示

发表评论

您的电子邮箱地址不会被公开。