1、概念

????????CT - Certificate Transparency，證書透明

2、Trying to Solve

????????如果意外的 CA 為我們的域名頒發(fā)證書，我們是不可見，這就是證書透明（CT）要解決的問題

3、How CT Works

• 任何CA機構(gòu)頒發(fā)的所有證書的公共登記處（Public registries）
  • Decentralized（分散化）- 多個登記處，多個組織
  • Append Only（只能附加）- 條目無法刪除
  • Cryptographically assured（加密保證）- Merkle Hash Tree（默克爾哈希樹）
• 一旦Public registries建立起來，Web Server操作員就能夠輪詢證書注冊表（certificate registry）
  • 搜索以其名義頒發(fā)的所有證書（包括請求和重頒發(fā)的證書）
  • 確認(rèn)沒有頒發(fā)虛假證書
• Web Browsers
  • 只接受公共注冊表中的證書

4、deeper...

• 證書透明中的3個新角色
  • Operators（操作員）- 維護所有已頒發(fā)證書的默克爾哈希樹（MHTs）
  • Monitors（監(jiān)控）-?驗證并聚合來自各個操作員的默克爾哈希樹
  • Auditors（審計）- 驗證單個條目和默克爾哈希樹的一致性
• SCT（Signed Certificate Timestamp，簽名證書時間戳）
  • 證明/承諾證書將被添加到公共注冊表
  • 由日志操作員（Log Operators）簽名（意味著，如果我們信任日志操作員，我們就信任SCT）
  • Monitors & Auditors 驗證證書確實被添加到注冊表中
• Web Browsers（網(wǎng)絡(luò)瀏覽器）要求查看每個證書的一個或多個SCTs
  • 3種方法：TLS extension，OCSP / Stapling，x509v3 Extension

參考文獻

1、網(wǎng)站：Practical Networking.net：Practical TLS