Дата статьи 27.01.2017

Certificate Transparency: Прозрачность сертификатов для всех

В новом году все больше стали упоминать прозрачность сертификатов (certificate transparency). И все потому что Google, а точнее, команда, работающая над принадлежащим ему браузером Chrome, заявила о своем намерении сделать требование прозрачности обязательным для всех выпущенных с октября 2017 года SSL сертификатов. Давайте же разберемся, что это такое и зачем она нужна.

Рост мошенничества с SSL/TLS

За последние несколько лет значительно вырос уровень выпуска SSL сертификатов для мошенников. Чаще всего это происходило вследствие ошибок центров сертификации при валидации или же умелой подделке данных со стороны мошенников. Наиболее часто встречаются следующие проблемы:
  • Центр сертификации по ошибке выдал сертификат для домена не его настоящему владельцу.
  • Центр сертификации был скомпрометирован и мошенники сами выпустили неправомерные SSL сертификаты. Такая ситуация произошла с датским ЦС DigiNotar. Взломав его, хакеры выпустили мошеннические сертификаты и смогли подделать многочисленные веб-сайты в Иране, среди которых Facebook и Gmail, и таким образом заполучить данные множества пользователей, а также отслеживать их. DigiNotar был в последствии закрыт, от чего пострадали многие пользователи сайтов, использовавших их продукты.
  • Центр сертификации (особенно это касается малоизвестных компаний) могут сами оказаться мошенниками.
В любом из этих случаев могут быть выпущены неверные SSL сертификаты для доменов, владельцы которых в лучшем случае смогут узнать об этом через несколько недель или месяцев. Дело в том, что браузеры видят эти продукты как доверенные, и не будут выдавать предупреждений об опасности.

Что такое прозрачность сертификатов (certificate transparency)?

Это проект компании Google, целью которого является устранение ряда проблем в области SSL/TLS сертификации, а именно намеренного или случайного выпуска мошеннических SSL сертификатов. Чтобы избежать всех этих проблем, в рамках программы Прозрачность сертификатов планируется внедрить открытую систему выпуска и использования SSL продуктов. В первую очередь владелец любого домена должен знать, когда для него выпускается сертификат. Тогда он сможет быстро среагировать и запросить аннулирование, что поможет сохранить безопасность данных и защитить пользователей. Таким образом, основные цели программы включают:
  1. Сделать невозможным (или хотя бы крайне сложным) выпуск SSL сертификата для домена, о котором его владелец не будет знать.
  2. Предоставить открытую систему аудита и мониторинга, которая позволит любому владельцу домена или центру сертификации определять сертификаты, выданные по ошибке или в мошеннических целях.
  3. Защитить пользователей, насколько это возможно, от обмана с использованием SSL сертификатов, выданных по ошибке или мошенническим путем.

Как работает эта система?

Certificate Transparency позволяет достичь этих целей путем создания открытой схемы для мониторинга процесса выдачи SSL сертификатов и их аудита. Эта схема состоит из трех основных компонентов, описанных ниже.

прозрачность сертификатов (certificate transparency)

Публичные логи

Это простые онлайн-сервисы, которые содержат зашифрованные записи о выданных SSL сертификатах. Их может просмотреть каждый желающий, но не может вносить в них изменения. Кроме того каждый может добавить SSL сертификат в журнал, хотя это в первую очередь ожидается от центров сертификации. Также кто угодно может запросить журнал для проверки правильности его ведения и работы, а также для проверки того или иного сертификата. Логи находятся на серверах, которые могут принадлежать центру сертификации, ISP или любой заинтересованной стороне.

Публичные мониторы

Это публичные серверы, которые периодически связываются со всеми серверами логов и проверяют записи в журналах на соответствие техническим нормам, а также на наличие подозрительных свойств. Например, мониторы могут сообщить, если был выдан несанкционированный сертификат для определенного домена. Также они могут найти сертификаты с необычными расширениями или разрешениями (например, с возможностями удостоверяющего центра).

Аудиторы

Это компоненты ПО (например, браузеров, приложений или мониторов) или же самостоятельное программное обеспечение, которое выполняет две основные функции:
  1. Проверяют корректность работы логов и их криптографическую непротиворечивость. Если они находят какую-либо ошибку в работе лога, ему нужно будет предоставить объяснение, или же лог могут закрыть.
  2. Проверяют, появился ли определенный сертификат в логах. Его отсутствие может указывать на его подозрительность. В таком случае TLS-клиент может отказать в подключении к сайтам с подозрительными сертификатами.
Все вместе эти компоненты составляют открытую систему, позволяющую всем следить за выпуском новых SSL сертификатов и проверять их практически в режиме реального времени. Пользователи также смогут это делать, ведь Chrome планирует обозначать не внесенные в логи сертификаты:

Сертификат без записи в логах Certificate transparency

На данном этапе проект certificate transparency в процессе разработки, но все больше удостоверяющих центров подключается к его нормам. Так, в обязательном порядке в логи вносятся все EV SSL сертификаты и бесплатные решения, но в скором времени они станут обязательными для всех.

Корзина 0 позиций
на сумму 0 ₽
Связаться со мной
Отправить
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Оформить заказ
Заказать
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Добавить отзыв
Оставить отзыв
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Отзыв отправлен!
Спасибо за обращение! Мы опубликуем его как только наши сотрудники проверят его
Сообщение отправлено!
Спасибо за обращение! Мы свяжемся с Вами в ближайшие рабочие часы
Отправка не удалась
Во время отправки запроса произошла ошибка. Пожалуйста, подождите и попробуйте снова через некоторое время или позвоните на мой номер телефона
Авторизация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Забыли пароль?
\
Регистрация
Восстановление пароля
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
\
Регистрация
Ошибка авторизации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная авторизация
Через 5 секунд страница будет перезагружена и вы сможете войти в свой аккаунт
Ошибка регистрации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная регистрация
Вам на почту должно прийти письмо с ссылкой на подтверждение аккаунта. Пожалуйста перейдите по ней и активируйте свой аккаунт
Ошибка регистрации
Такой пользователь уже существует. Пожалуйста, проверьте корректность данных.
Регистрация
Ошибка восстановления пароля
Пожалуйста, проверьте корректность email.
Успех
Ваш новый пароль был выслан вам на email
Регистрация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
Создать тикет
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Свяжитесь с нами
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Сообщение отправлено!
Ваше сообщение получено. Наш менеджер свяжется с вами в ближайшие рабочие часы
Проверка DNS валидации
Скачать файл валидации
Для валидации домена разместите скачанный текстовый файл в указанную директорию на Вашем сервере:
Выберите подходящий вариант

К сожалению, выбранный сертификат от данного центра сертификации не может быть выдан. Так как ЦС приостановил выпуск новых/продление заказов для доменов в зоне .ru, .рф, .by, .su, .moscow и для сертификатов с OV, EV проверкой, где фигурирует компания из России.

Пожалуйста рассмотрите возможность выпуска сертификатов от AlphaSSL или Globalsign.