什么是证书透明度CT？如何查询CT logs证书日志？

当前的数字证书管理系统中缺陷使得欺诈证书导致安全问题和隐私泄露风险变得日益明显。针对这一问题，证书透明度CT应运而生。作为证书生态系统的辅助工具，CT要求CA公开其颁发的每一个数字证书到证书日志中，并对其监控、审计，以确保证书透明度机制正确有效运行，从而缓解证书错误颁发，减少安全问题以及隐私泄露的发生。

什么是证书透明度 CT？

Certificate Transparency简称CT，中文名：证书透明度，是用于记录和监视SSL证书颁发的系统，其目的是为了监控CA或其他恶意人员伪造服务器证书。由于各大CA受所有浏览器信任，它们中的任意一个证书颁发机构都有权为您的域名颁发证书，如果这些证书是恶意的，您的浏览器同样会无条件信任它。

赛门铁克曾在Google不知情下为Google的域名颁发了有效期为一天的预签证书，CA权利被滥用或者是错误地被用于发布伪造的数字证书会将用户的隐私处于危险之中。因此，CT为SSL证书信任提供了额外的安全保障，让客户端不只是简单的信任CA，而是让用户或企业可以随时通过CT查询和监控谁为自己的域名签发了SSL证书，从而确保证书的合法性。

（证书日志上未被记录的证书提示）

证书透明度CT如何工作？

证书透明度机制通过以下三个组件来工作的：

1. CT Logs证书日志服务器保存所有证书的签发记录，任何人都可以查询或者验证颁发的数字证书是否已经被合理地记录在了日志之中。证书日志中包括已过期、尚未生效、已被吊销或在其他方面并非完全有效的证书。任何人均可将证书添加到日志中，但一般都是CA机构添加证书日志。证书日志只能新增，不能修改或删除。
2. Monitors监视器定期监视日志服务器中是否存在异常行为和可疑证书，如发现有冒充者伪造证书，即可快速与CA机构联系，撤销非法证书。
3. Auditors审计 用于验证证书日志的完整性，可定期检查证书日志以确保其正常运行，如果日志无法正常执行，则可能将其关闭。

以上三个组件协同运作，以确保证书透明度机制正确有效运行。

（证书透明度工作运行机制图）

CT Logs证书日志有什么好处？

1. 早期检测。使用SSL证书签发日志查询能够帮您在几小时内查询未经授权的证书，而不需要花几天或几周的时间。域名所有者还可以据此查询未经批准颁发的任何证书，从而避免人为错误或假冒行为导致误发证书。
2. 安全性更强。

由于CT 日志只能添加证书记录，不能修改或删除旧记录，这有助于防止篡改问题。

任何域名所有者都可以在日志查询中验证证书是由受信任的CA颁发还是恶意颁发的，防止用户受到任何欺诈证书欺骗。

除了域名所有者外，任何感兴趣的相关人员都能查看这些证书，这能促使证书颁发机构在颁发证书时更加负责，加强信任链。

用户浏览的网站证书若没有被记录到CT日志中，浏览器便不会显示安全链接和展示安全锁图标，这也使用户的在线浏览更加安全。

3. 查询证书有效期。使用SSL证书签发日志查询可以识别、监控哪些证书即将过期或者需要撤销，使企业能够及时快速地与CA或服务商联系，避免因证书过期带来不必要的损失。
4. 查询证书和颁发者信息。除了查询证书有效期外，您可以在 CT 日志中查看域名证书颁发者、子域名覆盖范围、所有先前证书的历史记录以及其他重要详细信息。

如何查询CT logs证书日志？

可以使用免费的CT日志查询工具，给用户一个查找某个给定域名颁发的所有数字证书的途径。方法如下：

1. 打开官网，鼠标导航至SSL证书，在右侧的SSL工具栏中找到点击SSL证书签发日志查询。
   

（SSL证书签发日志查询位置）
2. 输入域名或企业名称，即可查询该域名或企业下所有签发的SSL证书日志。

（输入域名查询SSL证书签发日志）

结论

证书透明度CT 是安全行业的重大改进，对记录、监测、审核SSL数字证书有着重要意义。信誉良好的CA会确保每一个证书都添加记录在CT logs日志中，因此请选择权威可信CA颁发的SSL证书保护您的网站安全。

本文转载于https://www.racent.com/blog/certificate-transparency-and-ct-logs