Transparentnost certifikátu
Author
Albert FloresTransparentnost certifikátu je experimentální otevřený standard IETF a open source framework pro sledování a kontrolu digitálních certifikátů. Prostřednictvím systému certifikačních protokolů, sledování a kontroly umožňuje transparentnost certifikátu uživatelům webových stránek a vlastníkům domén identifikovat omylem, nebo ve zlém úmyslu vydaný certifikát a identifikovat podvodné certifikační autority (CA).
Dosavadní stav techniky
Nedostatky v současném systému správy digitálních certifikátů byly patrné v oblasti bezpečnosti a ochrany osobních údajů. V roce 2011 holandská certifikační autorita DigiNotar ohlásila bankrot poté, co útočníci vytvořili více než 500 podvodných digitálních certifikátů pomocí vlastní infrastruktury.
Výhody
Jedním z problémů v managementu s digitálními certifikáty spočívá v tom, že dlouho trvá odhalit, nahlásit a odvolat podvodné certifikáty. Transparentnost certifikátu by měla napomoci tomu, aby se zamezilo vydání certifikátu doméně bez toho, aniž by byl znám vlastník. +more * Transparentnost certifikátu nevyžaduje vedlejší komunikační kanál. * Transparentnost certifikátu funguje bez nutnosti důvěřovat třetí straně.
Logy transparentnosti certifikátu
Transparentnost certifikátu závisí na ověřitelných logách. Log připojí nový certifikát do stále rostoucího tzv. +more Merklova stromu (Merkle hash tree). Když se certifikát chová správně, musí log:.
* Verifikovat, že každý předložený certifikát (nebo precertifikát) obsahuje validní podpisový řetězec vedoucí zpět k důvěryhodnému kořenovému certifikátu. * Zamítnout publikování certifikátů bez validního podpisového řetězce. +more * Uchovat celý verifikační řetězec od nově přijatého certifikátu až ke kořenovému certifikátu. * Poskytnout tento řetězec na vyžádání pro auditing.
Log může přijmout certifikát, který není ještě plně validní a certifikáty, kterým již vypršela platnost.
Monitory transparentnosti certifikátu
Monitory se chovají jako klienti k log serverům. Monitory kontrolují logy, aby zajistily jejich korektní chod. +more Nestálost je důkazem toho, že se log nechová správně a podpis na datové struktuře logu (Merklově stromu) zamezí logu před odepřít toto nesprávné chování.
Auditoři transparentnosti certifikátu
Auditoři se také chovají jako klienti k log serverům. Auditoři využívají dílčí údaje o logu, aby ověřili log proti dalším dílčím informacím, které obsahuje.
Implementace certifikační autority
Google spustil svůj první log transparentnosti certifikátu v březnu 2013. V září 2013 se stal DigiCert první tzv. +more certifikační autoritou, která implementovala transparentnost certifikátu.
Google Chrome začal vyžadovat transparentnost certifikátů kvůli nově vydané rozšířeným validačním certifikátům (Extended Validation Certificates) od roku 2015. Začal vyžadovat transparentnost certifikátů pro všechny certifikáty nově vydané společností Symantec od 1. +more června 2016 poté, co nalezli 187 vydaných certifikátů bez znalosti jejich vlastníků.