免費SSL證書透明度日志查詢工具助力識別偽造證書
近期,銳成面向大眾推出SSL證書透明度日志查詢工具。作為證書生態系統的輔助工具,CT Log可以通過輸入域名或企業名稱查詢旗下域名所有SSL證書的簽發記錄,識別過期、吊銷、誤簽或惡意簽發的SSL證書。
如今全球有數百個受信任的CA機構,任何一家CA都有權利為您的域名頒發有效的SSL證書。如果CA機構未按照驗證機制誤簽SSL證書,或CA系統被黑而簽發惡意證書或偽造證書,導致這些非法簽發的SSL證書流入網絡,威脅互聯網的安全。因為PKI體系中的這個漏洞,近年來發生了不止一次SSL證書偽造事件!
早在2015年,谷歌發現賽門鐵克旗下的 Root CA 未經同意簽發了眾多域名的數千個證書,其中包括谷歌旗下的域名和不存在的域名,該 Root CA 簽發的證書可能被用于攔截、破壞或冒充谷歌產品或用戶的安全通信。
2017年3月,谷歌和火狐調查又發現賽門鐵克未經授權誤簽發了 127 張 SSL 證書,隨著調查進一步開展發現誤簽發的證書數量達到驚人的 3 萬多張!谷歌表示,此次誤簽證書的原因是賽門鐵克未能正確驗證域名,對于申請特殊域名 SSL 證書的申請者身份審核不嚴格。此外,他們還指出,賽門鐵克公司既沒有對未經授權發行的證書進行日志審核,也沒有對這一缺陷進行改進。
所以,當CA機構的權利被濫用或是操作失誤簽發了不該簽發的SSL證書,誰能監督、檢測、發現這些惡意或誤簽的數字證書?
此時,證書透明度(Certificate Transparency)應運而生。CT Log策略規定CA必須要公布每天簽發的SSL證書,并對CT日志進行監控、審計。未遵循CT Log策略標準的網站安全證書,瀏覽器將彈出此網站證書不符合CT要求的警告,提醒用戶不予信任以免遭受攻擊,因為自2018年4月開始,谷歌、火狐、蘋果等瀏覽器相繼開始強制執行SSL證書透明度政策。
(未符合證書透明度策略的不安全警告)
由此可見,證書透明度機制為SSL證書信任提供了額外的安全保障,讓瀏覽器客戶端不只是簡單的信任CA,而是讓用戶或企業可以隨時通過CT Log查詢和監控誰為自己的域名簽發了SSL證書,從而確保證書的合法性。
這就是SSL證書透明度日志的重要功能特點!
銳成新推的CT Log查詢工具允許瀏覽器廠商、CA同行、證書申報者以及終端用戶等不同身份的人員都能自由地且隨時檢測是否存在未經授權頒發的SSL證書,從而避免人為錯誤或假冒行為導致誤簽證書。
此外,由于CT日志只能添加證書記錄,不能修改或刪除舊的記錄,所以,凡是已簽發的、過期的或是吊銷的SSL證書均有記錄登記,通過銳成證書透明度日志查詢工具可以獲取到為此域名頒發的所有SSL證書歷史記錄,包括CA簽發機構、證書有效期、當前狀態以及其他證書的重要詳細信息。
(輸入racent.com查詢SSL證書簽發日志樣例)
據悉,目前國內的SSL證書透明度日志查詢工具比較罕見,銳成推出的這款證書透明查詢工具添補了這一空缺,任何人只需要輸入域名或企業名稱就能查詢到旗下域名所有SSL證書的簽發記錄,識別過期、吊銷、誤簽或惡意簽發的SSL證書,這無疑有助于數字證書生態系統更加安全地運行!
