Инициатива Certificate Transparency

Одна из основных проблем современной инфраструктуры SSL-сертификатов в том, что удостоверяющие центры (УЦ) могут выпускать сертификаты, нарушающие принципы построения цепочки доверия в клиентском программном обеспечении. Самый распространённый пример таких сертификатов – сертификаты, выпущенные для того или иного домена без разрешения администратора этого домена.

Бороться с таким положением дел можно, кроме прочего, с помощью построения дополнительной открытой системы аудита сертификатов, назависимой от УЦ и доступной для использования каждому, кто заинтересован в дополнительной проверке полученных с сервера сертификатов. При поддержке Google развивается как раз такая система: Certificate Transparency (CT). Основные задачи, которые могут быть решены при помощи CT: затруднить выпуск SSL-сертификатов для домена, невидимый администратору этого домена; позволить администратору домена узнать, какие сертификаты для его домена были выпущены; оградить клиентское программное обеспечение от доверенного использования неправомерно выпущенных сертификатов. Решается всё при помощи ведения лога, содержащего описания сертификатов. Подробности есть на сайте.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 3

  • 1. 3rd August 2013, 23:51 // Читатель jno написал:

    > оградить клиентское программное обеспечение от доверенного
    > использования неправомерно выпущенных сертификатов

    чё-то я не вкурил этот пункт…

  • 2. 5th August 2013, 09:15 // Александр Венедюхин ответил:

    Там вот о чём речь: браузер сможет выяснить, что полученный с сервера сертификат был выпущен без ведома администратора домена, и, соответственно, не будет доверять этому сертификату.

  • 3. 8th August 2013, 18:56 // Читатель jno написал:

    это-то – понятно.
    неясно с реализацией.

    блин, почему нельзя просто подписывать ЭЦП владельца домена нужные сертификаты?

    да и вообще, идея ЦА нынче выглядит криво – раздают всё подряд кому ни попадя…

    сертификат должен выпускать сам владелец.
    и подписывать его.
    остальное – форма нотариата.
    а нотариусы *за* клиента договора не составляют!