证书透明度(CT)是公钥基础设施PKI的重要组成部分,有了它,域名所有者、浏览器和其他感兴趣的人都可以查看哪些CA在何时为哪些域名签发了哪些证书,这对确保证书合法性、保护网络安全至关重要。那么什么是证书透明度(CT)?哪些浏览器支持证书透明度(CT)?今天我们将深入探讨。
什么是证书透明度(CT)?
证书透明度(CT),英文全称Certificate Transparency,简称CT,是用于记录和监视SSL证书颁发的系统,其目的是为了监控CA或其他恶意人员伪造服务器证书。有了证书透明度,新签发的证书就会被 “记录 ”到公开运行的CT日志中,从而为SSL证书信任提供了额外的安全保障,让客户端不只是简单的信任CA,而是让用户或企业可以随时通过CT查询和监控谁为自己的域名签发了SSL证书,从而确保证书的合法性。
备注:我们可以使用CT Log查询工具—SSL证书签发日志查询,根据企业名称或域名查询CA签发的所有SSL数字证书,了解证书透明度。
哪些浏览器支持证书透明度(CT)?
Google Chrome、Apple Safari、Mozilla Firefox 和 Microsoft Edge等主流浏览器均支持证书透明度,将其纳入了自身的安全策略。
1、Google Chrome
Google Chrome 浏览器要求包含CT日志,要求颁发的所有SSL证书都支持证书透明度(CT),否则用户将无法访问使用不合规SSL证书的网站。
2、Apple Safari
Apple Safari浏览器支持证书透明度(CT),要求颁发的所有SSL证书必须在公众可访问的证书透明度(CT)日志中进行记录,才能受到Safari浏览器的信任,不符合证书透明度政策的证书将导致TLS 连接失败。
3、Mozilla Firefox
Mozilla Firefox浏览器支持证书透明度(CT),从第133版开始,Nightly默认执行该功能,要求颁发的所有SSL证书都必须附带足够的证书透明度信息,否则,对于部署不合规SSL证书的网站,Nightly将显示错误页面。
4、Microsoft Edge
2024年2月,微软在Windows的Crypt32中添加了证书透明度策略,通过检测签名证书时间戳 (SCT)来确保SSL证书的有效性。目前,Microsoft Edge的证书透明度(CT)政策在Windows系统中采用审计模式,预计到2024 年底,其他应用程序也将开始执行该政策。
总而言之,Chrome、Safari、Firefox 和 Edge等主流浏览器支持证书透明度(CT),证书透明度(CT)在网络安全领域中发挥着巨大的作用,可有效防止SSL证书的错误颁发和滥用,是提升网络安全性的重要机制。
作为国内数字证书行业领先者,锐成信息(racent.com)深耕数字证书领域数十年,始终遵循高标准来验证身份和颁发高可信度的数字证书,提供Sectigo、Digicert、Geotrust、锐安信sslTrus等业内权威SSL证书,这些证书都经过CT验证并保存在CT日志的记录中,保护您的网站免遭SSL证书的错误颁发和滥用。