Техническое: Certificate Transparency на серверах и в браузерах
Существуют EV-сертификаты для TLS. Это сертификаты с расширенной проверкой организации, для домена которой выпускается сертификат. Технически, они такие же, как и обычные, но красят адресную строку в некоторых браузерах в зелёный цвет. Теперь для EV-сертификатов нужна поддержка Certificate Transparency (согласно рекомендациям разработчиков браузеров; сейчас требование актуально только для линейки Google Chrome). Посмотрим, как это выглядит на практике, для пользователя браузера Chrome (англоязычный интерфейс). Для примера я возьму сайт интернет-банка “Альфа-банка”. Сведения о статусе аудита Certificate Transparency (CT) отображаются в выпадающем окошке, по клику на название организации в адресной строке браузера:
Наличие строки Transparency information говорит о том, что в сертификате содержатся записи из логов CT. По клику открывается окно с дополнительной информацией:
О чём данные из этого окна говорят типичному пользователю? Да, к сожалению, ни о чём. Разобраться в них сложнее, чем в структуре сертификата, потому что для понимания требуется знание того, как работает технология CT. Ну, разве что, можно обратить внимание на то, что указана дата, когда сертификат был внесён в лог (в нашем случае эта дата совпадает с датой начала действия сертификата), да и на то, что наличие сертификата в логе подтверждено подписями (статус Verified), а это означает, что данный сертификат, скорее всего, был действительно выпущен для указанного сервера, согласно соответствующим процедурам.
Сведения о включении сертифката в лог CT содержатся в самом сертификате, для этого в расширения X.509 внесено специальное поле:
Пока что технология CT не очень распространена, но поддержка ведущими браузерами и требование по наличию этой технологии в дорогих EV-сертификатах (а в дальнейшем, очевидно, во всех типах сертификатов, используемых на веб-узлах), должны сделать её популярной и обязательной.
Адрес записки: https://dxdt.ru/2015/04/13/7381/
Похожие записки:
- Техническое описание TLS: обновление 2022
- Техническое: ключи DNSSEC и их теги
- Реплика: обновления панели управления RU-CENTER
- Техническое: Google Public DNS и DNSSEC
- Британские заморские территории и домен IO
- URL и ссылки в письмах
- Ретроспектива заметок: деанонимизация по географии
- Реплика: интернет-названия
- Встроенное проксирование в Google Chrome (IP Protection)
- Распознавание TLS-клиентов в трафике
- Ссылки: Telegram и его защищённость
Комментарии читателей блога: 2
1 <t> // 13th April 2015, 22:21 // Читатель Dmitry Belyavsky написал:
Пока что это требование только Google Chrome.
2 <t> // 14th April 2015, 10:25 // Александр Венедюхин:
Да, добавил в текст.