digicert-ssl-768x409.jpg
证书透明制将于2018年4月变为强制。

从2018年2月1日其,DigiCert将默认把所有新签发的SSL证书提交到证书透明制记录中。

Clint Wilson,DigiCert技术部产品经理在博客中透露了这项决定的细节:

为了提高我们客户的安全性和鼓励采用,我们正在进行这项改变,使之超越Google在2018年4月生效的整个行业要求。自2015年以来,CT logging只是对EV证书的要求。

这项改变将自动从2月1日起执行。您自该日起及以后的所有由DigiCert签发的证书都将成为“SCTs”——签名证书时间戳的一部分。

这些内容直接嵌入到证书中,并告诉客户端软件(如Web浏览器)证书已被记录。 当谷歌浏览器在四月份开始执行CT合规时,您的证书将已经兼容。 除非您不希望记录您的证书,否则您不需要执行任何操作。

该举措将只影响DigiCert证书。赛门铁克品牌旗下的产品(如:Symantec, RapidSSL, GeoTrust和Thawte)已在早前应谷歌要求记录所有新证书。

什么是证书透明制?

证书透明制是一个日志机制,用于通过增加透明度层的方式帮助强化PKI,并且有助于发现误签发证书。简单来说,从2018年3月开始,每个认证机构都需要记录每个公开信任的SSL证书。 证书将被记录在公共数据库(日志),证书可以很容易地被搜索和监控。如此,又能使网站所有者能够看到为其域名颁发的全面证书列表,从而更好地监督CA的活动。

如果证书没进入日志该怎么办?

从2018年4月开始,所有新颁发的证书将被要求记录。 如果您的证书是在2018年4月之前发布的,那么将不会有任何处罚。 但是,如果您的证书是在截止日期之后发出的,并且没有出现在CT日志中,则它将被视为自签名或过期证书。 也就是说,它会收到浏览器警告。


关键词: 证书透明制