Сервис для просмотра логов Certificate Transparency
В ТЦИ запущен сервис просмотра данных российских логов Certificate Transparency. На сервере используется TLS-сертификат, выпущенный ЦС ТЦИ. Соответствующий корневой сертификат ECDSA можно взять на сайте ЦС (SHA-1: 4E877AC027A63D8514C0B4CBFA0F6F58F6C17696).
“Данный сервис дает возможность любому пользователю проверить, выпускались ли сертификаты для какого-либо домена российскими центрами сертификации. Сервис собирает данные сразу всех российских CT-логов. Одним из главных его преимуществ является то, что он позволяет централизованно получать сводную информацию о TLS-сертификатах и осуществлять поиск по именам и другим значениям через удобный веб-интерфейс, то есть избавляет пользователей от необходимости использования специализированного программного обеспечения для просмотра CT-логов.”
(Это, собственно, версия известного сервиса crt.sh, но с поддержкой только российских логов – в crt.sh они не учитываются автоматически.) Самое простое применение – поиск (пре)сертификатов TLS по доменному имени (см. скриншот для livejournal.com ниже).
Адрес записки: https://dxdt.ru/2023/03/15/9726/
Похожие записки:
- Полностью зашифрованные протоколы и DPI-блокирование
- Постквантовые криптосистемы в Google Chrome (Kyber768)
- SPF и домен Microsoft hotmail.com
- Новые корневые сертификаты на audit.statdom.ru
- TLS и подмена сертификата на jabber.ru
- Мониторинг: фитнес-браслет и смартфон
- Техническое: связь SCT-меток с логами Certificate Transparency
- Технократический аспект Нового Средневековья
- Авария такси-робота в Калифорнии и новые риски
- Физико-химические структуры от AI Google
- Кубиты от IBM
Комментарии читателей блога: 5
1. 15th March 2023, 21:28 // Читатель beldmit написал:
Саша, по крайней мере для одного известного мне сайта там сертификатов нет, а они были
2. 15th March 2023, 21:53 // Александр Венедюхин:
Такое вполне возможно. Как минимум, требование наличия CT-меток для сертификатов российского НУЦ “Яндекс” ввёл не сразу, до этого был простой список имён доменов в CSV.
3. 15th March 2023, 22:34 // Читатель beldmit написал:
Тогда эта информация – что там не найдутся сертификаты, выпущенные до часа X – должна быть представлена заметным образом.
4. 15th March 2023, 22:52 // Александр Венедюхин:
Полнота логов вообще мне не очень понятна. В принципе, сервис показывает то, что получилось скачать из логов и сложить в базу. То есть, если сертификат (или пресертификат) попал в лог тем или иным образом, то его можно найти сервисом, но не более – такая концепция. Наверное, надо будет об этом написать, да.
5. 16th March 2023, 01:06 // Читатель beldmit написал:
Смысла в CT логах, в которые попадает не всё – примерно ноль.
Написать комментарий