Transparentnost certifikátu

Transparentnost certifikátu je experimentální otevřený standard IETF a open source framework pro sledování a kontrolu digitálních certifikátů. Prostřednictvím systému certifikačních protokolů, sledování a kontroly umožňuje transparentnost certifikátu uživatelům webových stránek a vlastníkům domén identifikovat omylem, nebo ve zlém úmyslu vydaný certifikát a identifikovat podvodné certifikační autority (CA).

Dosavadní stav techniky

Nedostatky v současném systému správy digitálních certifikátů byly patrné v oblasti bezpečnosti a ochrany osobních údajů. V roce 2011 holandská certifikační autorita DigiNotar ohlásila bankrot poté, co útočníci vytvořili více než 500 podvodných digitálních certifikátů pomocí vlastní infrastruktury.

Výhody

  • Jedním z problémů v managementu s digitálními certifikáty spočívá v tom, že dlouho trvá odhalit, nahlásit a odvolat podvodné certifikáty. Transparentnost certifikátu by měla napomoci tomu, aby se zamezilo vydání certifikátu doméně bez toho, aniž by byl znám vlastník.
  • Transparentnost certifikátu nevyžaduje vedlejší komunikační kanál.
  • Transparentnost certifikátu funguje bez nutnosti důvěřovat třetí straně.

Logy transparentnosti certifikátu

Transparentnost certifikátu závisí na ověřitelných logách. Log připojí nový certifikát do stále rostoucího tzv. Merklova stromu (Merkle hash tree). Když se certifikát chová správně, musí log:

  • Verifikovat, že každý předložený certifikát (nebo precertifikát) obsahuje validní podpisový řetězec vedoucí zpět k důvěryhodnému kořenovému certifikátu.
  • Zamítnout publikování certifikátů bez validního podpisového řetězce.
  • Uchovat celý verifikační řetězec od nově přijatého certifikátu až ke kořenovému certifikátu.
  • Poskytnout tento řetězec na vyžádání pro auditing.

Log může přijmout certifikát, který není ještě plně validní a certifikáty, kterým již vypršela platnost.

Monitory transparentnosti certifikátu

Monitory se chovají jako klienti k log serverům. Monitory kontrolují logy, aby zajistily jejich korektní chod. Nestálost je důkazem toho, že se log nechová správně a podpis na datové struktuře logu (Merklově stromu) zamezí logu před odepřít toto nesprávné chování.

Auditoři transparentnosti certifikátu

Auditoři se také chovají jako klienti k log serverům. Auditoři využívají dílčí údaje o logu, aby ověřili log proti dalším dílčím informacím, které obsahuje.

Implementace certifikační autority

Google spustil svůj první log transparentnosti certifikátu v březnu 2013. V září 2013 se stal DigiCert první tzv. certifikační autoritou, která implementovala transparentnost certifikátu.

Google Chrome začal vyžadovat transparentnost certifikátů kvůli nově vydané rozšířeným validačním certifikátům (Extended Validation Certificates) od roku 2015. Začal vyžadovat transparentnost certifikátů pro všechny certifikáty nově vydané společností Symantec od 1. června 2016 poté, co nalezli 187 vydaných certifikátů bez znalosti jejich vlastníků.

Reference

V tomto článku byl použit překlad textu z článku Certificate Transparency na anglické Wikipedii.

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.