Технология Certificate Transparency в браузерах Chrome/Chromium
Большой проблемой современного состояния SSL/TLS в Интернете является возможная “прозрачная” подмена сертификатов, проводимая при участии удостоверяющих центров. Одним из решений этой проблемы является построение независимой от иерархии удостоверяющих центров публичной системы аудита выданных сертификатов. Соответствующая инициатива называется Certificate Transparency (CT), я писал о ней примерно год назад. Результаты аудита, которые публикуются в специальных логах, могут, в том числе, автоматически проверяться браузерами. Технология активно развивается и уже частично поддерживается браузерами Chrome и Chromium. Конечно, есть проблема с полнотой логов, но важно, что поддержку включили.
Кстати, поговаривают, что в Chrome/Chromium будут требовать поддержки CT для EV-сертификатов (сертификатов с “дополнительной валидацией”) с февраля 2015 года. То есть, уже совсем скоро.
Посмотреть, как работает эта новая технология, можно, например, здесь: https://embed.ct.digicert.com/.
Адрес записки: https://dxdt.ru/2014/09/23/6918/
Похожие записки:
- Мониторинг: фитнес-браслет и смартфон
- TOR и анализ трафика в новостях
- Новые криптосистемы на тестовом сервере TLS 1.3
- Техническое: обновления на тестовом сервере TLS 1.3
- Быстрая факторизация и постквантовые алгоритмы
- Наложенные сети Chrome для размещения сервисов
- Сдвиги времени в сертификатах Let's Encrypt
- ML-KEM на тестовом сервере TLS
- TLS и подмена сертификата на jabber.ru
- DNS-over-TLS на авторитативных серверах DNS
- ИИ-корпорация SSI и исправление кода веб-страниц
Комментарии читателей блога: 4
1 <t> // 23rd September 2014, 11:15 // Читатель dss написал:
Мне кажется, запилить в браузеры поддержку DANE было бы дешевле и надежнее.
А что Вы думаете по поводу проверки сертификата через DNSSEC?
2 <t> // 23rd September 2014, 12:45 // Александр Венедюхин:
Думаю, что DANE – это полезно. Но почему-то люди из Google от его поддержки отказались, в пользу CT, как теперь можно видеть. Возможно, там какие-то корпоративные интересы у них. Кстати, про DANE: https://dxdt.ru/2012/06/28/4958/
3 <t> // 23rd September 2014, 13:58 // Читатель Дмитрий Белявский написал:
О, они перепилили в Crome способ показа информации о метке.
4 <t> // 24th September 2014, 14:26 // Читатель jno написал:
Тоска зелёная…
Опять техническое “решение” организационных проблем.
Опять нерешённый (та же полнота логов) толком вопрос “кто надзирает за надзирателем?” (ну, размазали очередной слой надзирателей тонким слоем, да)
Тупиком попахивает.
Ясен пень, что индустрия признать тупик не может, а государство хочет иметь руль от всего.