首先我们来了解一下Certifictae Transparency吧!1

  1. 什么是CT?CT的目标是什么?2
    a). 证书透明度使用户和域名持有者识别不当或恶意签发的证书,以及识别数字证书认证机构(CA)的行为。证书透明度有助于避免在瞒过域持有者的情况下为域颁发证书。证书透明度不需要侧信道通信来验证证书。他们由在线证书协议(OCSP)或Convergence等技术完成。证书透明度不需要可信赖第三方。CT 不是要替换现有的 CA 设施,而是做为补充,使之更透明、更实时3
    b). 证书透明度组件。4
    (备注,synchronous同步,asynchronous异步)
    - CA CT在现有的公众信任的CA系统中工作。
    - 证书日志 多个独立的日志的原因:可以用来备份;当其中一份日志被篡改时,证书依然有效;独立日志意味着单个管理无法从所有日志中删除发布过的证据;多个独立自治意味着CA不能和操作员勾结。所有的日志都是: 只能添加,无法被删除、修改插入;加密保证,防篡改;公开审计,任何人都可以查看记录寻找漏洞。
    - 证书监视器 证书监视器是指监视证书日志中是否存在可疑活动的人员。监视器可以使用HTTP GET 命令从日志中获取信息。
    - 证书审计器 证书审计器检查日志与验证日志是否一致,是否添加了新条目,日志是否已被追溯插入、删除或修改。

  2. How does CT work? 4

    • 过程。
      a). 服务器运营商从CA购买证书
      b). CA验证服务器运营商
      c).CA creates a precertificate. CA创建一个前置证书
      d). VA logs the precertificates with the log server, which returns a signed certiifcate timestamp. CA使用日志服务器记录先决条件,该服务器返回签名证书的时间戳(SCT)
      e).CA颁发一个SSL证书
      f). SSL Certiifcate may include signed certificate timestamp. SSL证书可能包含签名证书时间戳(SCT)
      g). 浏览器在TLS握手期间验证SSL证书
      h). Browser validate the SCT during the TLS handshake, either through OCSP stapling, through a TLS extension, or from information embedded in the certificate. 浏览器验证在TLS握手期间提供的SCT,通过OCSP装订,通过TLS扩展或证书中嵌入的信息
      i). 浏览器与服务器建立链接
      j). SSL证书在将所有的数据从浏览器传递到服务器时对其进行加密
    • There are three possible ways to deliver the SCT during the TLS handshake.





CA






ample.com






example.com






客户端(浏览器)















TTL Handshake(SSL cert)






CA







ample.com







example.com







客户端(浏览器)




current TLS/SSL system





CA






日志服务器






example.com






客户端(浏览器)











(1)CA submission (Precertificate)




(2)Log response (SCT)




(3)Cert issuance (SSL cert w/SCT)






TLS Handshake(SSL cert w/SCT)






CA







日志服务器







example.com







客户端(浏览器)




TLS/SSL System with Certificate Transparentcy

  1. SCT Delivery Methods 5 6

    • 什么是SCT
      Signed Certificate Timestamp.
    • 证书嵌入(如figure 1)

      此方法不需要任何服务器(example.com)修改,它允许服务器操作员继续以与以往相同的方式管理其SSL证书。
    • TLS扩展(如figure2_左)
    • OCSP Stapling(如figure2_右)
      可以看到,CA同时把证书传递给服务器和日志服务器,服务器通向CA传递OCSP信息,然后将返回的SCT返回给客户端。(PS: 在线证书状态协议是一个用于获取X.509数字证书撤销协议的网际协议,作为证书吊销CRL的替代列表,解决了在线公开密钥基础中使用证书吊销列表而带来的多个问题。)

  2. 实验(有点激动!!)3
    访问sjtusec.com,抓包后找到SCT部分。

    除了抓包,还可以在开发者工具的辅助security选项中查看SCT。OID(1.3.6.1.4.1.11129.2.4.2)表示证书已启用CT。OID(对象标识符)是一个数值,用于确定证书是否对特定用途有效。通过查看证书详细信息,可以在任何启用CT的证书上找到此字段。如果此OID不存在,则证书未启用CT7
    登陆这个网址也可以查到。

    在抓包的过程中我们看到了有两个SCT,这是为什么呢?8
    是RFC的规定,为了容错。

  1. Certificate Transparency http://www.certificate-transparency.org/ ↩︎

  2. 证书透明度_wiki https://zh.wikipedia.org/wiki/%E8%AF%81%E4%B9%A6%E9%80%8F%E6%98%8E%E5%BA%A6 ↩︎

  3. Jerry_Qu博客 https://imququ.com/post/certificate-transparency.html ↩︎ ↩︎

  4. 证书透明度的工作流程 https://www.digicert.com/certificate-transparency/how-it-works.htm ↩︎ ↩︎

  5. SCT工作流程 https://www.digicert.com/certificate-transparency/enabling-ct.htm ↩︎

  6. 官方解释 http://www.certificate-transparency.org/how-ct-works ↩︎

  7. https://knowledge.digicert.com/solution/SO28947.html ↩︎

  8. Q&A http://www.certificate-transparency.org/faq ↩︎

Certificate Transparency相关推荐

  1. 什么是证书透明度(Certificate Transparency)?

    SSL基础概念 什么是加密? 加密是一种新型的电子信息保护方式,就像过去使用保险箱和密码锁保护纸上信息一样.加密是密码学的一种技术实现方式:信息被转换为难以理解的形式(即编码),以便只有使用密钥才能将 ...

  2. Certificate Transparency 那些事 | JerryQu 的小站

    Certificate Transparency 那些事 | JerryQu 的小站

  3. 什么是证书透明度(Certificate Transparency,CT)?

    SSL基础概念 什么是加密? 加密是一种新型的电子信息保护方式,就像过去使用保险箱和密码锁保护纸上信息一样.加密是密码学的一种技术实现方式:信息被转换为难以理解的形式(即编码),以便只有使用密钥才能将 ...

  4. 证书透明度Certificate Transparency

    今天发现使用google浏览器访问HTTPS网址时,点击小锁-->>连接-->>有一项服务器未提供任何certificate transparency 信息?只有google浏 ...

  5. 证书透明度(Certificate Transparency)

    写在前面 最近在整理有关证书透明度的知识,现将其记录下来.我将从以下几个方面去介绍CT: 背景故事 发展阶段 整体框架 CT log Merkle Tree Monitors-Merkle Consi ...

  6. Merkle Tree(梅克尔树)算法解析

    Merkle Tree概念   Merkle Tree,通常也被称作Hash Tree,顾名思义,就是存储hash值的一棵树.Merkle树的叶子是数据块(例如,文件或者文件的集合)的hash值.非叶 ...

  7. iOS9 HTTPS

    原文地址: https://github.com/ChenYilong/iOS9AdaptationTips 关于App Transport Security,每个应用都属于4个大类当中的一类.我们来 ...

  8. mit 6.824 Distributed System

    文章目录 LEC1 Introduction LEC2 RPC and Threads LEC3 GFS LEC4 Primary-Backup Replication LEC5 Go, Thread ...

  9. 美图HTTPS优化探索与实践

    HTTPS 是互联网安全的基础之一,然而引入 HTTPS 却会带来性能上的损耗.本文作者深入解析了 HTTPS 协议优化的各个方面,对实战很有帮助. 2012 年斯诺登(Edward Snowden) ...

最新文章

  1. python以运行效率高著称吗_如何提高python的运行效率
  2. VS中解决LIBCMTD.lib和uafxcwd.lib冲突(uafxcw.lib LIBCMT.lib冲突)
  3. 图像的评价指标之SSMI——结构相似性
  4. java 线程状态_Java线程为何没有Running状态?我猜你不知道。
  5. 2022版全球及中国消防设备市场营销策略分析与竞争趋势展望报告
  6. 2008秋季-计算机软件基础-0917课堂用例(2)
  7. range和xrange的区别
  8. php blowfish 解密,PHP blowfish 加密解密函数
  9. Python入门学习-DAY27- isinstance与issubclass、反射、内置方法
  10. 论文中怎么引用yolo_论文中怎么加入脚注,并且对脚注的序号、位置、格式进行调整...
  11. 关闭浏览器 退出redis id_购物车增删改与清空,用Redis实现一下吧
  12. 这些反病毒斗争经验,我全放这了!
  13. sql优化-项目实战
  14. TFTP 服务器的配置
  15. InDesign CS3完全自学视频教程
  16. raw文件格式 Android,手机摄影知识讲堂:关于RAW格式的那些事
  17. VBA字典(详解,示例)
  18. device-side assert triggered原因和解决方法
  19. 使用 BEV 投影的高效城市规模点云分割
  20. Day 40 多表查询以及pymysql相关操作

热门文章

  1. 保研边缘人如何自救(经管学姐)?
  2. ThingsBoard 数据持久化策略/数据清理
  3. NLP实践——基于SIFRank的英文关键短语抽取
  4. mysql 列转行union all_SQL查询案例:列行转换[列转行, 使用 UNION ALL 处理]
  5. 关于SparkSQL的开窗函数,你应该知道这些!
  6. 纸上谈兵: 图 (graph)
  7. linux网关设置方法是什么?五个步骤帮你搞定
  8. 51Nod 圆与三角形
  9. Etag与HTTP缓存机制
  10. 红旗系统是不是linux,红旗linux操作系统是Linux吗?我想学习Linux,已经按完红旗的了、不知道是不是Linux,有没有被红旗改变过。还能按正常的方式学吗?...