近期,锐成面向大众推出SSL证书透明度日志查询工具。作为证书生态系统的辅助工具,CT Log可以通过输入域名或企业名称查询旗下域名所有SSL证书的签发记录,识别过期、吊销、误签或恶意签发的SSL证书。

如今全球有数百个受信任的CA机构,任何一家CA都有权利为您的域名颁发有效的SSL证书。如果CA机构未按照验证机制误签SSL证书,或CA系统被黑而签发恶意证书或伪造证书,导致这些非法签发的SSL证书流入网络,威胁互联网的安全。因为PKI体系中的这个漏洞,近年来发生了不止一次SSL证书伪造事件!

早在2015年,谷歌发现赛门铁克旗下的 Root CA 未经同意签发了众多域名的数千个证书,其中包括谷歌旗下的域名和不存在的域名,该 Root CA 签发的证书可能被用于拦截、破坏或冒充谷歌产品或用户的安全通信。

2017年3月,谷歌和火狐调查又发现赛门铁克未经授权误签发了 127 张 SSL 证书,随着调查进一步开展发现误签发的证书数量达到惊人的 3 万多张!谷歌表示,此次误签证书的原因是赛门铁克未能正确验证域名,对于申请特殊域名 SSL 证书的申请者身份审核不严格。此外,他们还指出,赛门铁克公司既没有对未经授权发行的证书进行日志审核,也没有对这一缺陷进行改进。

所以,当CA机构的权利被滥用或是操作失误签发了不该签发的SSL证书,谁能监督、检测、发现这些恶意或误签的数字证书?

此时,证书透明度(Certificate Transparency)应运而生。CT Log策略规定CA必须要公布每天签发的SSL证书,并对CT日志进行监控、审计。未遵循CT Log策略标准的网站安全证书,浏览器将弹出此网站证书不符合CT要求的警告,提醒用户不予信任以免遭受攻击,因为自2018年4月开始,谷歌、火狐、苹果等浏览器相继开始强制执行SSL证书透明度政策。

(未符合证书透明度策略的不安全警告)

由此可见,证书透明度机制为SSL证书信任提供了额外的安全保障,让浏览器客户端不只是简单的信任CA,而是让用户或企业可以随时通过CT Log查询和监控谁为自己的域名签发了SSL证书,从而确保证书的合法性。

这就是SSL证书透明度日志的重要功能特点!

锐成新推的CT Log查询工具允许浏览器厂商、CA同行、证书申报者以及终端用户等不同身份的人员都能自由地且随时检测是否存在未经授权颁发的SSL证书,从而避免人为错误或假冒行为导致误签证书。

此外,由于CT日志只能添加证书记录,不能修改或删除旧的记录,所以,凡是已签发的、过期的或是吊销的SSL证书均有记录登记,通过锐成证书透明度日志查询工具可以获取到为此域名颁发的所有SSL证书历史记录,包括CA签发机构、证书有效期、当前状态以及其他证书的重要详细信息。

输入racent.com查询SSL证书签发日志样例

据悉,目前国内的SSL证书透明度日志查询工具比较罕见,锐成推出的这款证书透明查询工具添补了这一空缺,任何人只需要输入域名或企业名称就能查询到旗下域名所有SSL证书的签发记录,识别过期、吊销、误签或恶意签发的SSL证书,这无疑有助于数字证书生态系统更加安全地运行!