在近日举行的WWDC大会上,苹果宣布将要求在2018年10月15日之后颁发的所有SSL / TLS证书加入证书透明度(CT)。
证书透明度是SSL生态系统的最新成员,2013年首次推出,通过公开记录SSL证书提供了透明度。这使得审计人员可以更加可靠地查看证书颁发机构正在发布的内容,并提高Web PKI系统中的公共信任和安全性。
苹果的新政策适用于整个macOS和iOS平台,而不仅仅是浏览器。这意味着除了Safari之外,还将在SSL证书用于保护连接的所有其他环境(如应用程序中)中检查CT列表。
证书透明系统由谷歌开发,并于今年4月起在Chrome浏览器中正式要求所有证书使用CT。
未记录的证书将不被信任,并且将被视为与过期或自签名证书类似,其中浏览器/应用程序将显示错误并拒绝建立连接。对于有效期更长的证书,可同时在至少两个CT记录中登记且兼容。
证书颁发机构负责处理客户端证书的日志记录,并且通常会将一种名为“SCT”的数据嵌入到证书中,作为已登录的证据 - 大多数情况下,所有这些都由供应商透明地处理,并且不会增加额外的负担到您的证书供应过程。
对于2018年10月15日之前颁发的证书,苹果将不会严格要求加入CT。他们的声明还包括将在其平台上受信任的CT日志列表,这些列表已从Chrome受信任的列表中借用。 Firefox之前宣布他们有意支持证书透明度,但没有公布任何公布日期。 在浏览器中要求CT可以确保用户被日志记录下的客户端利用,从而增强终端用户的安全性。
领取专属 10元无门槛券
私享最新 技术干货