Техническое: Certificate Transparency на серверах и в браузерах
Существуют EV-сертификаты для TLS. Это сертификаты с расширенной проверкой организации, для домена которой выпускается сертификат. Технически, они такие же, как и обычные, но красят адресную строку в некоторых браузерах в зелёный цвет. Теперь для EV-сертификатов нужна поддержка Certificate Transparency (согласно рекомендациям разработчиков браузеров; сейчас требование актуально только для линейки Google Chrome). Посмотрим, как это выглядит на практике, для пользователя браузера Chrome (англоязычный интерфейс). Для примера я возьму сайт интернет-банка “Альфа-банка”. Сведения о статусе аудита Certificate Transparency (CT) отображаются в выпадающем окошке, по клику на название организации в адресной строке браузера:
Наличие строки Transparency information говорит о том, что в сертификате содержатся записи из логов CT. По клику открывается окно с дополнительной информацией:
О чём данные из этого окна говорят типичному пользователю? Да, к сожалению, ни о чём. Разобраться в них сложнее, чем в структуре сертификата, потому что для понимания требуется знание того, как работает технология CT. Ну, разве что, можно обратить внимание на то, что указана дата, когда сертификат был внесён в лог (в нашем случае эта дата совпадает с датой начала действия сертификата), да и на то, что наличие сертификата в логе подтверждено подписями (статус Verified), а это означает, что данный сертификат, скорее всего, был действительно выпущен для указанного сервера, согласно соответствующим процедурам.
Сведения о включении сертифката в лог CT содержатся в самом сертификате, для этого в расширения X.509 внесено специальное поле:
Пока что технология CT не очень распространена, но поддержка ведущими браузерами и требование по наличию этой технологии в дорогих EV-сертификатах (а в дальнейшем, очевидно, во всех типах сертификатов, используемых на веб-узлах), должны сделать её популярной и обязательной.
Адрес записки: https://dxdt.ru/2015/04/13/7381/
Похожие записки:
- "Блокирующие" источники случайности в операционных системах
- Мониторинг: фитнес-браслет и смартфон
- Исчезновение "фрагментации Интернета" с разных точек зрения
- X25519Kyber768 в браузере Chrome 124
- Сайт OpenSSL и сегментация интернетов
- Реплика: история с сертификатом Jabber.ru и "управление доверием"
- Постквантовая криптография и рост трафика в TLS
- Быстрые, но "нечестные" подписи в DNSSEC
- Статья: DNS в качестве инструмента публикации вспомогательной информации
- Таблицы подстановок: картинка
- Набеги ботов под прикрытием AI
Комментарии читателей блога: 2
1. 13th April 2015, 22:21 // Читатель Dmitry Belyavsky написал:
Пока что это требование только Google Chrome.
2. 14th April 2015, 10:25 // Александр Венедюхин:
Да, добавил в текст.