证书透明度(CT)与SCT详解
**证书透明度(Certificate Transparency)**是面向TLS证书的公开、仅追加日志系统。CA签发的每张证书都会被记录到独立的CT日志中,因此任何人都能审计针对某域名签发了什么——包括误签发或被攻陷CA签发的证书。
为什么重要
在CT之前,针对你域名的误签发证书可能无人察觉。如今由于浏览器要求提供已记录的证明,你可以通过监控CT在数小时内发现针对你品牌的未授权证书。
SCT:已记录的证明
**SCT(签名证书时间戳)**是CT日志已记录该证书的签名承诺。浏览器(Chrome、Safari)要求证书携带SCT——通常来自不同日志的两个或更多——否则会报错。SCT有三种传递方式:
| 传递方式 | 位置 |
|---|---|
| 内嵌 | 证书内部(最常见) |
| TLS扩展 | 握手过程中 |
| OCSP装订 | 装订的OCSP响应中 |
监控你的域名
可在 crt.sh 搜索针对你域名签发了什么(例如 https://crt.sh/?q=example.com)。设置CT监控/告警,一旦出现陌生证书即触发调查。本站的 SSL/TLS检测 显示协商出的证书;与CT监控结合可获得完整可见性。背景:证书链。
备注: 若把内部主机名放入公开证书,它们也会暴露在CT中。对不想被公开记录的内部名称,请使用通配符证书或私有CA。