Прозрачность сертификата и частные сертификаты
Кто-нибудь знает, может ли / будет ли применяться функция прозрачности сертификатов, продвигаемая Google, к частным установленным ЦС?
Похоже, что в некоторых ситуациях Chrome уже применяет CT, предположительно, путем аудита открытых журналов CA. Для частных ЦС, которые имеют законный статус "человек посередине", очевидно, что не будет общедоступной информации ЦА, и было бы хорошо знать, что Chrome не будет отказываться от этого.
4 ответа
Политика применения CT применяется только к общедоступным CA, а не к самоподписанным или частным CA. Самое близкое, что я мог найти в подтверждение этого, был этот твит от Google Райана Слееви.
Все еще проблема, частные сертификаты действительно имеют проблемы с CT, как я объяснил здесь: Политика реферера скрывает реферер самозаверяющих сертификатов
Политика применения CT также, по-видимому, применяется к внутренним сертификатам EV.
Принимая во внимание, что в Internet Explorer адресная строка зеленого цвета с названием компании EV, а в Chrome она указана только как "Безопасный | https".
В официальных документах четко указано, что прозрачность сертификата применяется только к тем ЦС, которые являются общедоступными, то есть ЦС, которые поддерживаются вашим браузером или устройством из коробки, без каких-либо дополнительных шагов по настройке.
Для центров сертификации, которые были установлены вручную, при условии, что эти сертификаты не являются общедоступными или не пользуются доверием, нет необходимости включать поддержку прозрачности сертификатов. Кроме того, журналы прозрачности сертификатов не будут принимать сертификаты от этих центров сертификации, поэтому поддержка CT невозможна.