Let's Encrypt釋出開放憑證透明度日誌系統Oak

Let's Encrypt宣布釋出新的透明日誌系統Oak，這個系統可以接收所有公開受信任的憑證頒發機構提交憑證，供瀏覽器查詢憑證的有效性以偵測惡意網站，這項計畫由憑證頒發機構Sectigo提供大部分的資金援助。

憑證透明度（Certificate Transparency，CT）適用於監督以及監控憑證頒發的系統，提供所有人都有監督憑證的能力，並讓憑證發布生態系以及網頁安全獲得顯著的改進。由於現代加密技術，瀏覽器通常都可以檢測憑證真偽，因此即便惡意網站偽造憑證，很快就會被發現，但是當惡意網站使用的是憑證頒發機構錯誤發出，或是被偷走的憑證，以目前的加密機制來說，是難以察覺的。

瀏覽器仍然會認為這些憑證來自信譽良好的憑證頒發機構，而且網站也使用安全的連線方式，所以瀏覽器不疑有他的認為該網站是真實沒問題的，而之所以讓這些惡意網站有機可乘，是因為缺乏有效的即時驗證憑證方法，而當這些有問題的憑證被惡意使用時，可能要經過數周甚至數月憑證才會被撤銷，但這段時間足以讓有心人士在用戶不知情的狀況，安裝惡意程式甚至是監控用戶。

憑證透明度便是出現來解決這項問題的，以開放的方式，讓網域擁有者、憑證頒發機構以及網域使用者能夠公開審核SSL憑證，讓憑證頒發機構無法在網域擁有者不知情的狀況下，發布該網域的SSL憑證，而且也讓網域擁有者與憑證頒發機構，能以審核與監控系統偵測錯誤或是惡意發布的憑證，而對於一般使用者來說，也能免於受有問題的憑證欺騙。

Let's Encrypt認為，憑證透明度日誌系統有助於創建安全且具隱私的網路環境，因此從2015年開始，Let's Encrypt就開始記錄每一個他們發布的憑證，到目前為止已經累積有五億個憑證，由於Let's Encrypt每天發出超過一百萬張憑證，因此他們需要擁有為高容量最佳化設計，能夠存放大量憑證透明度日誌的系統，另外，Let's Encrypt也提到，Google Chrome要求所有的新憑證都要來自於兩個獨立的日誌系統，而這也是Let's Encrypt要建立多個日誌系統的原因之一。

Oak建立在AWS基礎架構上，執行Google透明且可擴展的加密驗證資料儲存軟體Trillian，並使用Kubernetes進行容器編排和作業調度，還使用了AWS RDS進行資料管理，打造出不只能夠放進Let's Encrypt的憑證，也能供其他憑證頒發機構提交憑證的系統。Let's Encrypt現正申請加入Google Chrome和Apple Safari的日誌列表中，在90天後應該就能正式被加入可信任列表中，使用者會由更新的瀏覽器獲得更新。除了Let's Encrypt，Google、Sectigo、Cloudflare和DigiCert也都有營運開放日誌系統。