Как проверить логи google -transparency для обнаружения вредоносных ssl-сертификатов моего домена

Question

Как проверить логи google -transparency для обнаружения вредоносных ssl-сертификатов моего домена

Я хотел бы использовать API прозрачности сертификатов Google для проверки вредоносных сертификатов SSL (если таковые имеются) моего домена. Я могу получить все сертификаты, но как мне проверить, является ли сертификат законным или нет.

Я нашел этот репозиторий ( https://github.com/ProtonMail/ct-monitor), но он просто ищет сертификаты и сохраняет его. Какая польза от хранения этих сертификатов, если мы сначала не проверим сертификаты.

Может ли кто-нибудь предложить мне, как мне узнать вредоносные SSL-сертификаты, используя этот API прозрачности сертификатов Google.

1

certificate-transparency

Источник

user11698343 25 июн '19 в 17:53

0 ответов

Другие вопросы по тегам certificate-transparency

user436794 05 май '20 в 00:25 2020-05-05 00:25 · Answer 1 · 2020-05-05 00:25

Журналы прозрачности сертификатов, как описано на сайте CT:

простые сетевые службы, которые поддерживают криптографически гарантированные, публично проверяемые записи сертификатов только для добавления. Регистрация сертификатов в моде позволяет заинтересованным сторонам (например, владельцам доменов) отслеживать эти журналы на предмет злонамеренных / ошибочных записей.

Но сертификат, зарегистрированный в журнале CT, не означает, что это неплохой сертификат. Как поясняется на сайте CT:

Прозрачность сертификатов основана на существующих механизмах смягчения последствий для работы с вредоносными сертификатами и центрами сертификации - например, при отзыве сертификатов. Сокращенное время обнаружения ускорит общий процесс устранения рисков при обнаружении вредоносных сертификатов или центров сертификации.

Таким образом, CT API не поможет вам в работе, является ли сертификат вредоносным - вам необходимо проверить с помощью других методов, таких как проверка списков отзыва сертификатов (CRL) или с помощью протокола статуса онлайн-сертификата (OCSP). См. Этот связанный вопрос о том, как проверять сертификаты. Есть сайты, которые позволяют проверять сертификаты, например https://certificate.revocationcheck.com/. Современные браузеры, похоже, все больше используют сжатые списки CRL - теперь Mozilla использует CRLite, а Chrome использует CRLSets.

CT API позволяет вам проверить, что сертификат был зарегистрирован в журналах CT, что означает, что владельцы доменов могут отслеживать их и быстро вставлять любые вредоносные / ошибочные сертификаты в соответствующие списки отзыва сертификатов.