我正在阅读一些关于谷歌发起的证书透明度项目。(更多信息请访问http://www.certificate-transparency.org),该技术试图在 CA 证书的创建中引入透明度。他们的目标是所有 SSL 证书都将记录在由独立公司运行的多个公开可用的日志中,并且浏览器只会对记录的证书提供信任。域所有者和相关方将监视日志以检测 CA 错误颁发或未经组织实际授权的证书(来源)。
我在网上找不到很多关于这项技术的采用,它真的是一个游戏规则改变者,将来会防止像 digicert 事件这样的黑客攻击吗?或者这只是一个没有被广泛采用的倡议?
截至今天(2018 年 1 月 25 日),证书透明度的采用并不普遍,但它开始获得动力。Let's Encrypt将所有证书记录到 CT 日志中, DigiCert和 Comodo等几个主要 CA运行自己的 CT 日志。谷歌浏览器已经在其开发工具中显示证书透明信息,Firefox计划在不久的将来添加支持。
从 2018 年 4 月开始,Google Chrome计划开始强制在所有新颁发的证书中使用证书透明度,除非它们包含在至少两个不同的、合格的证书透明度日志中,否则拒绝将其视为有效证书。一旦发生这种情况,证书透明度的采用无疑会迅速起飞,因为很少有网站运营商愿意使用不受 Chrome 信任的证书。