Сервис для просмотра логов Certificate Transparency
В ТЦИ запущен сервис просмотра данных российских логов Certificate Transparency. На сервере используется TLS-сертификат, выпущенный ЦС ТЦИ. Соответствующий корневой сертификат ECDSA можно взять на сайте ЦС (SHA-1: 4E877AC027A63D8514C0B4CBFA0F6F58F6C17696).
“Данный сервис дает возможность любому пользователю проверить, выпускались ли сертификаты для какого-либо домена российскими центрами сертификации. Сервис собирает данные сразу всех российских CT-логов. Одним из главных его преимуществ является то, что он позволяет централизованно получать сводную информацию о TLS-сертификатах и осуществлять поиск по именам и другим значениям через удобный веб-интерфейс, то есть избавляет пользователей от необходимости использования специализированного программного обеспечения для просмотра CT-логов.”
(Это, собственно, версия известного сервиса crt.sh, но с поддержкой только российских логов – в crt.sh они не учитываются автоматически.) Самое простое применение – поиск (пре)сертификатов TLS по доменному имени (см. скриншот для livejournal.com ниже).
Адрес записки: https://dxdt.ru/2023/03/15/9726/
Похожие записки:
- Реплика: история с сертификатом Jabber.ru и "управление доверием"
- Физико-химические структуры от AI Google
- DNS как транспорт для сигналов и данных
- Простой пример "про измерения"
- Ранжирование Apple приложений-мессенджеров
- Реплика: Интернет и веб
- Реплика: внешние капча-сервисы и сегментация
- Описание DoS-атаки с HTTP/2 от Cloudflare
- Ключи X25519 для гибрида с Kyber в Firefox
- Реплика: перенос доменных имён и GoDaddy
- Сайт OpenSSL и сегментация интернетов
Комментарии читателей блога: 5
1 <t> // 15th March 2023, 21:28 // Читатель beldmit написал:
Саша, по крайней мере для одного известного мне сайта там сертификатов нет, а они были
2 <t> // 15th March 2023, 21:53 // Александр Венедюхин:
Такое вполне возможно. Как минимум, требование наличия CT-меток для сертификатов российского НУЦ “Яндекс” ввёл не сразу, до этого был простой список имён доменов в CSV.
3 <t> // 15th March 2023, 22:34 // Читатель beldmit написал:
Тогда эта информация – что там не найдутся сертификаты, выпущенные до часа X – должна быть представлена заметным образом.
4 <t> // 15th March 2023, 22:52 // Александр Венедюхин:
Полнота логов вообще мне не очень понятна. В принципе, сервис показывает то, что получилось скачать из логов и сложить в базу. То есть, если сертификат (или пресертификат) попал в лог тем или иным образом, то его можно найти сервисом, но не более – такая концепция. Наверное, надо будет об этом написать, да.
5 <t> // 16th March 2023, 01:06 // Читатель beldmit написал:
Смысла в CT логах, в которые попадает не всё – примерно ноль.
Написать комментарий