示意圖,與新聞事件無關。

Google軟體工程師Ryan Sleevi上周宣布,在明年10月以後發行的網站憑證必須遵循Chrome的憑證透明化政策,才能為該瀏覽器所信賴。

由憑證機構(CA)所發行的憑證可用來識別網站的主機名稱並驗證網站擁有者的身份,使用者通常會信賴由坊間數百個CA所核發的憑證,但有時CA可能會因人為疏失或遭入侵而誤發憑證。

例如荷蘭的憑證機構DigiNotar曾於2011年遭到入侵,造成逾200個假憑證外流,Gmail及Facbook的網址在伊朗被冒用,馬來西亞的DigiCert則曾誤發數十個SSL憑證,可供偽造網站或簽署惡意軟體。瀏覽器業者也會針對不夠嚴謹的CA提出反制,像是Chrome在去年封鎖了來自CNNIC的憑證,Firefox日前也封鎖了來自沃通與StartCom的憑證。

由Google在2013年所發起的憑證透明化(Certificate Transparency,CT)專案改變了憑證的核發程序,要求CA必須將憑證寫入可公開驗證、無法竄改且僅供附加資料的紀錄中,以讓使用者的瀏覽器可承認其效力,在造訪HTTPS網站時,除非該站的憑證已寫入CT紀錄中,否則瀏覽器可能不會顯示安全連線的圖示。

Google表示,此一開放的監控系統將讓網域所有人與CA藉以判斷相關憑證是否被濫用或遭到誤發。CT現已成為網際網路工程任務小組(IETF)實驗性的開放標準與開放源碼框架。

Sleevi說,Chrome團隊相信CT生態體系將會漸次茁壯,到了明年10月就能實現此一要求,若有各種特別的使用案例都可向IETF提出說明。


Advertisement

更多 iThome相關內容