Let's Encrypt宣布釋出新的透明日誌系統Oak,這個系統可以接收所有公開受信任的憑證頒發機構提交憑證,供瀏覽器查詢憑證的有效性以偵測惡意網站,這項計畫由憑證頒發機構Sectigo提供大部分的資金援助。

憑證透明度(Certificate Transparency,CT)適用於監督以及監控憑證頒發的系統,提供所有人都有監督憑證的能力,並讓憑證發布生態系以及網頁安全獲得顯著的改進。由於現代加密技術,瀏覽器通常都可以檢測憑證真偽,因此即便惡意網站偽造憑證,很快就會被發現,但是當惡意網站使用的是憑證頒發機構錯誤發出,或是被偷走的憑證,以目前的加密機制來說,是難以察覺的。

瀏覽器仍然會認為這些憑證來自信譽良好的憑證頒發機構,而且網站也使用安全的連線方式,所以瀏覽器不疑有他的認為該網站是真實沒問題的,而之所以讓這些惡意網站有機可乘,是因為缺乏有效的即時驗證憑證方法,而當這些有問題的憑證被惡意使用時,可能要經過數周甚至數月憑證才會被撤銷,但這段時間足以讓有心人士在用戶不知情的狀況,安裝惡意程式甚至是監控用戶。

憑證透明度便是出現來解決這項問題的,以開放的方式,讓網域擁有者、憑證頒發機構以及網域使用者能夠公開審核SSL憑證,讓憑證頒發機構無法在網域擁有者不知情的狀況下,發布該網域的SSL憑證,而且也讓網域擁有者與憑證頒發機構,能以審核與監控系統偵測錯誤或是惡意發布的憑證,而對於一般使用者來說,也能免於受有問題的憑證欺騙。

Let's Encrypt認為,憑證透明度日誌系統有助於創建安全且具隱私的網路環境,因此從2015年開始,Let's Encrypt就開始記錄每一個他們發布的憑證,到目前為止已經累積有五億個憑證,由於Let's Encrypt每天發出超過一百萬張憑證,因此他們需要擁有為高容量最佳化設計,能夠存放大量憑證透明度日誌的系統,另外,Let's Encrypt也提到,Google Chrome要求所有的新憑證都要來自於兩個獨立的日誌系統,而這也是Let's Encrypt要建立多個日誌系統的原因之一。

Oak建立在AWS基礎架構上,執行Google透明且可擴展的加密驗證資料儲存軟體Trillian,並使用Kubernetes進行容器編排和作業調度,還使用了AWS RDS進行資料管理,打造出不只能夠放進Let's Encrypt的憑證,也能供其他憑證頒發機構提交憑證的系統。Let's Encrypt現正申請加入Google Chrome和Apple Safari的日誌列表中,在90天後應該就能正式被加入可信任列表中,使用者會由更新的瀏覽器獲得更新。除了Let's Encrypt,Google、Sectigo、Cloudflare和DigiCert也都有營運開放日誌系統。


Advertisement

更多 iThome相關內容