Поддерживают ли браузеры прозрачность сертификатов?
Проект прозрачности сертификатов Google существует уже в течение некоторого времени, Google Chrome и Mozilla Firefox заявили, что присоединились к проекту, но как мне проверить, поддерживает ли браузер прозрачность сертификатов и три способа доставки SCT?
1 ответ
Один из самых простых способов проверить, проверяет ли браузер прозрачность сертификата, - это попробовать известный плохой сайт, такой как https://invalid-expected-sct.badssl.com/. Используя этот адрес, Chrome 69 скажет, что сайт небезопасен, но Safari 12.0, который не обеспечивает прозрачность сертификатов, пропустит его.
С политикой Chrome можно ознакомиться по адресу https://github.com/chromium/ct-policy/blob/master/ct_policy.md
Apple находится в процессе обеспечения прозрачности сертификатов, и я считаю, что планируется развернуть их в iOS 12.1.1 и macOS 10.14.2. Их политику можно найти на https://support.apple.com/en-us/HT205280
Firefox 63.0.1, похоже, также не поддерживает прозрачность сертификатов, хотя поддержка встроена в Firefox. Я считаю, что в настоящее время он не применяется до тех пор, пока не будут решены некоторые другие проблемы.
С точки зрения попытки протестировать три метода доставки, существует https://www.ida.liu.se/~nikca89/papers/pam18.html исследовательский проект с доступным кодом, который извлекает SCT для заданного списка доменов, поэтому Вы должны быть в состоянии использовать это, чтобы проверить все 3 способа. Чтобы заставить его работать, вы создаете файл top-1m.csv с записями для каждого домена в отдельных строках с префиксом игнорируемого числового значения и выполнением main функция в FirstTestCase, В качестве альтернативы вы можете посмотреть на проект Conscrypt, хотя это больше работы.