博客 > 苹果Safari将强制SSL证书支持CT证书透明度
浏览量:5634次评论:0次
作者:Claire时间:2019-09-04 16:35:10
谷歌和Mozilla已经宣布了开始强制执行证书透明度的计划。
6月5日,苹果公司在WWDC大会上发布重要声明:从10月15日起,所有SSL/TLS证书必须在公众可访问的证书透明度(CT)日志中进行记录,才能受到Safari浏览器的信任。
在此声明发布之前,谷歌和Mozilla都已经在最近几个月中宣布了证书透明度要求。该变化将在Safari浏览器以后的一次更新中体现出来。之前只有扩展验证SSL证书才被要求进行记录。
苹果公司新的证书透明度政策如下
我们的政策要求至少有两个由CT日志签发的签名证书时间戳(SCT),而该日志既可以是曾经批准的,也可以是在检查时在当前批准的:
什么是证书透明度?
你可以在互联网上找到证书透明度的完整说明,但如果你想要的是简短的版本,那么开始罗。谷歌第一个开发了证书透明性背后的系统,从而(很明显)成为了该领域中的领导者。这并不是很复杂,因为当证书被签发时,它都必须在一个或多个CT日志中进行记录。这些日志是公开的,所以任何研究人员、终端用户或监控组织都可以查看它们。这应该能够帮助各公司更快速地处理错误签发的问题,同时干扰也比较少。
许多不同的组织都在运行CT日志,包括谷歌、Mozilla和DigiCert。
如果证书没有恰当地进行记录,那么它就将会被认为是过期或错误配置的证书:出现一个严重的浏览器警告,并且不能连接页面。正如苹果公司的政策所指出的,证书必须被记录在至少两个日志中,以便获取信任,同时证书的寿命越长,就必须在更多的日志中进行记录。
尽管Safari只占到总的桌面浏览器市场份额的3%多一点,但它在移动浏览器市场的份额超过了四分之一(27%)。这一政策将对运行在iOS上的桌面和移动版本同时有效。
三人行
尽管谷歌是第三个宣布这一改变的主要的浏览器,但它是第二个给出了明确执行日期的浏览器。谷歌将从7月开始要求所有在4月30日之后签发的证书执行这一政策。Mozilla尚未给出一个明确的日期,尽管它也致力于CT。
苹果公司的政策将影响所有在10月15日之后签发的证书。因为它不具有追溯效力,所以大多数人将不需要担心这个,直到他们下一次进行更新时。同样需要指出的是,只有行业本身才需要担心证书透明度。终端用户不需要采取任何行动。大多数CA都已经开始有所行动,或者至少宣布开始记录所有SSL/TLS证书的计划。任何未进行记录的SSL/TLS证书都可能会被认为是错误签发的证书。
如果你有此倾向,脸书已经发布了一个对用户十分友好的、查看CT日志的方法。
相关文章推荐
2024-11-22 14:02:30
2024-11-21 15:50:11
2024-11-19 14:40:48
2024-11-18 10:59:34
2024-11-15 14:13:40
热门工具
标签选择
阅读排行
我的评论
还未登录?点击登录