大多数Web浏览器都会在地址栏中显示一个“锁”的标志。例如,在Google Chrome中,如果你点击了这一图标,浏览器将会告诉你网站的链接是否安全。
安全锁图标意味着网站提供了有效的证书,访客的数据是私密的,网站内容的传输并未遭到拦截或篡改。网站的证书就相当于一个印章,表明了连接的安全性。访客的信任对网站至关重要,如果您想要让自己的网站也获得证书,只需向证书颁发机构(CA)提交申请,CA会在确认您的身份和网站数据后对您授予数字证书。
CA也可能出错
DigiCert,Let's Encrypt和Sectigo都是站长们较为熟悉的证书颁发机构,这些机构颁发的证书很好地限制了冒名顶替者对普通访客的欺诈,并增进了访客与站长间的信任。但在少数情况下,作为一个无情的“盖章”机器,CA也是有可能出现纰漏的。
根据Cloudflare对主要CA的证书颁发统计:全球范围内,每小时约有20万新发行的网站证书
这些证书里有一部分是由恶意攻击者冒名申请的,当这些顶替者收到证书,他们将可以对网站带来极大的威胁:
- 窃取访问者的登录凭据
- 通过提供其他内容来中断网站的常规服务
因此,当CA“不小心”为网站颁发了证书,我们就需要格外地警惕。更重要的是,我们需要一种方法来帮助站长们及时知晓证书的颁发状况,从而对可疑的证书颁发做出反应。
证书透明度
证书透明度(CT)即是上述问题的解决方案。
当CA颁发证书时,它们也必须将证书提交到至少两个公共的CT日志,CT将公开所有证书以供人们审核。
有多家公司提供了互联网上的公共CT日志,如Google和DigiCert,去年,我们也推出了Cloudflare Nimbus日志。这些公共CT日志中通常包含了上亿个证书记录。
Safari和Google Chrome都会审核CT日志,如果无法在日志中找到网站的受信任有效证书,浏览器就会将该网站标记为“不安全的站点”。
Cloudflare 证书透明度监视
尽管浏览器可以审核CT日志并报告非法证书,但这样的审计并不详尽,而网站的所有者才是审核自己网站证书的最佳人选。今年8月,我们推出了公共Beta版的Cloudflare证书透明度监视——在开启此功能后,当有CA为您的某个域颁发了证书,我们便会向您发送邮件提醒,帮助您及时注意到可疑的证书。
所有Cloudflare计划(包括免费计划)的客户均可以到Cloudflare控制面板的“Crypto”选项卡中开启此功能。我们默认将预警邮件发送至域的所有者,如果您使用Cloudflare Business或Enterprise计划,则可以指定收件邮箱。
CT监视的原理
Cloudflare有一个名为Merkle Town的CT数据枢纽,我们将在这里处理所有的受信任证书。当您或冒名顶替者向CA提出申请,CA批准了该请求并颁发证书,该证书便会在24小时内被发往一组CT日志中。Merkle Town会派遣一个名为“The Crawler”的内部流程到CT日志中检查新证书,并将新证书提取到Merkle Town中。若您启用了CT监视,Merkle Town就会在发现对您的域颁发的新证书后立即向您发送警报。
收到证书警报以后,站长们应该怎么做
在受到证书警报以后,您可以核对邮件中列出的发行方(CA)、有关您域名的信息等,如无异常,则不必慌张——网站证书会定期过期和更新,在这些情况下您也会收到我们的证书警报。
在极少数情况下,您可能会遇到可疑的证书颁发,那么您可以按下述基本流程进行操作:
- 联系邮件中列出的发行方(CA)
- 解释您认为该证书不合法或可疑的原因
- CA将在核实后撤销证书
CT监视可以帮助站长们更快地发现恶意证书,以免攻击者造成更大的危害。在未来,我们将持续完善和改进证书的检测方法。快来登录您的Cloudflare账户,开启证书透明度监视吧!
点击以下链接,了解Merkle Town公示的CT日志统计:
Merkle Townct.cloudflare.com
825
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
