什么是证书透明度(Certificate Transparency)?
SSL基础概念
什么是加密?
加密是一种新型的电子信息保护方式,就像过去使用保险箱和密码锁保护纸上信息一样。加密是密码学的一种技术实现方式:信息被转换为难以理解的形式(即编码),以便只有使用密钥才能将其转译为可理解的形式(即解码)。以设备加密为例,需要按照程序或设备提供的明确说明,利用可解译信息的 PIN 码或利用复杂的算法来破解密码。加密实际上是依靠数学对信息进行编码和解码。
什么是 HTTPS?
HTTP(超文本传输协议)是浏览器连接到网站时采用的技术手段。HTTPS 是经过加密的 HTTP 连接,更为安全可靠。如果您在网址部分看到的是 HTTPS 而非 HTTP,则表明与网站的连接是安全的。对于安全的连接,大多数浏览器还会显示安全连接图标,例如 Chrome 会显示一个绿色的挂锁图标。
为什么要使用 HTTPS?
即使您的网站并不处理敏感讯息,您也应使用 HTTPS 来保护您的网站。HTTPS 有助于保障网站的完整性,并捍卫用户的隐私和安全。此外,只有提供 HTTPS 的网站才能使用最新推出的一些非常强大的网络平台功能。
为什么加密非常重要?
我们的讯息要穿过复杂的网络系统才能从 A 点到达 B 点。在这个过程中,讯息很容易被知道如何操纵网络的非既定接收方拦截。此外,便携式设备(不仅仅只是手机)已成为我们生活中必不可少的一部分,其中不仅有我们的照片、讯息记录、电子邮件,还有存储在应用中的私人数据(为了方便起见,我们一般设为始终登入这些应用)。一旦设备丢失或被盗,捡到者或盗窃者就很容易获取我们最私密的信息,从而使我们面临身份被盗用、金钱诈骗甚至人身伤害等风险。
在这些情况下,加密机制可以为我们提供保护。经过加密的讯息在网络传输过程中即使被拦截,拦截方也无法理解其中的内容。此类讯息称为“密文”,而未经加密的讯息则是以“明文”形式传输的。对于设备加密,如果没有为加密的设备进行解密所需的 PIN 码或密码,不轨之徒就无法获取手机上的内容,而只能彻底清空设备。丢失数据固然令人痛心,但至少好过身份被盗用。
有哪些类型的加密?
在传输期间加密,可保护从最终用户到第三方服务器的信息流。例如,当您在购物网站上输入信用卡凭据时,安全的连接有助于保护您的信息不会被第三方中途拦截。只有您和连接到的服务器可以解密这些信息。
端到端加密,指的是只有发送方和接收方持有用于加密和解密讯息的密钥。即使是负责控制用户讯息传输系统的服务提供商,也无法获取讯息的实际内容。
静态时加密,有助于保护未处于传输状态的信息。例如,计算机中的硬盘可以使用静态时加密机制,以确保在计算机被盗后盗窃者无法获取其中的文件。
什么是证书授权中心?
证书授权中心 (CA) 是指向网站运营商签发数字证书的组织。操作系统(例如 Mac OS X 和 Windows)和网络浏览器(例如 Chrome、Firefox、Safari)会预加载一系列可信的根授权中心。新型操作系统通常会随附超过 200 个可信 CA,其中部分 CA 由政府管理。网络浏览器对每个 CA 的信任程度是相同的。此外,许多 CA 还会委托中间 CA 来签发证书。
什么是证书?
当您通过安全连接 (HTTPS) 访问某个网站时,该网站会向浏览器提供数字证书。此证书用于识别该网站的主机名,由已验证网站所有者的证书授权中心 (CA) 签发。只要用户信任相应的 CA,便可信任证书中提供的身份证明。
证书透明度
为什么 Certificate Transparency 非常重要?
当前模式要求所有用户都必须相信,数百个 CA 组织在为任何网站签发证书时不会出现任何错误。但在有些情况下,人为错误或假冒行为可能会导致误发证书。Certificate Transparency (CT) 改变了签发流程,新流程规定:证书必须记录到可公开验证、不可篡改且只能附加内容的日志中,用户的网络浏览器才会将其视为有效。通过要求将证书记录到这些公开的 CT 日志中,任何感兴趣的相关方都可以查看由授权中心签发的所有证书。这能够促使授权中心在签发证书时更加负责,从而有助于形成一个更可靠的系统。最终,如果使用 HTTPS 的某个网站的证书未记录到 CT 日志中,那么当用户访问该网站时,浏览器可能不会显示安全连接挂锁图标。
请注意,只有负责指定网域的组织才知道签发的哪些证书已获授权。如果证书未获授权,网域用户应与签发证书的 CA 联系,以确定应采取的适当措施。
什么是 Certificate Transparency 日志?
Certificate Transparency 日志是采用 RFC 6962 的服务器,允许任何相关方提交由广受信任的 CA 签发的证书。一旦有日志接受了某个证书,该日志的加密属性即可保证相应条目永远不会被移除或修改。
此处显示的证书来自哪里?
透明度报告中的证书是从一系列有效 Certificate Transparency 日志中获取的。这些日志中的许多证书是由 CA 在签发流程期间提交的。此外,我们还添加了 Google 在将网页编入索引时遇到的证书。网站所有者可以在此网站中搜索自己所控制的域名,以确保没有针对其网域误发证书的情况。
为什么我的证书没有显示在此处?
证书记录到至少一个 CT 日志后,就会显示在此处。您可以将自己的证书提交到某个日志,如果不行的话,您可能需要与 CA 联系。技术用户可以使用相关工具(例如 https://certificate-transparency.org 上提供的开放源代码工具)自行将证书提交到日志。
为什么有些网站有多个证书签发方?
许多大型组织会使用多个 CA 来满足各种各样的需求,其中可能包括合同义务、实施考虑事项和费用。
为什么有些证书列有多个 DNS 名称?
许多组织会选择签发可在多个网站使用的单一证书。例如,大型网站经常会为其资源使用多个子网域(如 www.google.com、mail.google.com、accounts.google.com),但会以单一证书指定所有这些子网域。
https://www.myssl.cn