Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Сервис для просмотра логов Certificate Transparency
В ТЦИ запущен сервис просмотра данных российских логов Certificate Transparency. На сервере используется TLS-сертификат, выпущенный ЦС ТЦИ. Соответствующий корневой сертификат ECDSA можно взять на сайте ЦС (SHA-1: 4E877AC027A63D8514C0B4CBFA0F6F58F6C17696).
“Данный сервис дает возможность любому пользователю проверить, выпускались ли сертификаты для какого-либо домена российскими центрами сертификации. Сервис собирает данные сразу всех российских CT-логов. Одним из главных его преимуществ является то, что он позволяет централизованно получать сводную информацию о TLS-сертификатах и осуществлять поиск по именам и другим значениям через удобный веб-интерфейс, то есть избавляет пользователей от необходимости использования специализированного программного обеспечения для просмотра CT-логов.”
(Это, собственно, версия известного сервиса crt.sh, но с поддержкой только российских логов – в crt.sh они не учитываются автоматически.) Самое простое применение – поиск (пре)сертификатов TLS по доменному имени (см. скриншот для livejournal.com ниже).
Адрес записки: https://dxdt.ru/2023/03/15/9726/
Похожие записки:
- Симметричные ключи, аутентификация и стойкость в TLS
- Десятилетие DNSSEC в российских доменах
- DNS как транспорт для сигналов и данных
- "Пасхалки" в трафике
- TLS-сертификаты dxdt.ru
- Пресертификаты в Certificate Transparency
- Браузеры и перехват TLS без участия УЦ
- Сорок лет Интернету
- Экспериментальный сервер TLS 1.3: замена сертификатов
- Дорисовывание Луны смартфонами Samsung
- Партнёрское API для сертификатов в ТЦИ
Комментарии читателей блога: 5
1. 15th March 2023, 21:28 // Читатель beldmit написал:
Саша, по крайней мере для одного известного мне сайта там сертификатов нет, а они были
2. 15th March 2023, 21:53 // Александр Венедюхин ответил:
Такое вполне возможно. Как минимум, требование наличия CT-меток для сертификатов российского НУЦ “Яндекс” ввёл не сразу, до этого был простой список имён доменов в CSV.
3. 15th March 2023, 22:34 // Читатель beldmit написал:
Тогда эта информация – что там не найдутся сертификаты, выпущенные до часа X – должна быть представлена заметным образом.
4. 15th March 2023, 22:52 // Александр Венедюхин ответил:
Полнота логов вообще мне не очень понятна. В принципе, сервис показывает то, что получилось скачать из логов и сложить в базу. То есть, если сертификат (или пресертификат) попал в лог тем или иным образом, то его можно найти сервисом, но не более – такая концепция. Наверное, надо будет об этом написать, да.
5. 16th March 2023, 01:06 // Читатель beldmit написал:
Смысла в CT логах, в которые попадает не всё – примерно ноль.
Написать комментарий