Certificate Transparency tính minh bạch của chứng chỉ là gì?

Tính minh bạch của chứng chỉ được đơn giản hóa hơn bao giờ hết

Ngành chứng chỉ SSL / TLS đã ra một số thay đổi cơ bản đáng kể và tính minh bạch của chứng chỉ (CT) là một trong số đó. Hầu hết mọi người lần đầu tiên học thuật ngữ ‘Chứng minh minh bạch’ (Certificate Transparency) vào năm 2015 khi Google bắt buộc tất cả các tổ chức phát hành chứng chỉ phải đăng nhập chứng chỉ EV SSL của họ cho CT. Bây giờ, yêu cầu này sẽ bắt buộc đối với tất cả các chứng chỉ bắt đầu từ tháng 4 năm 2018.

Vì vậy, tính minh bạch của chứng chỉ là gì? Hãy cùng tìm hiểu.

Tính minh bạch của chứng chỉ là gì?

Về cơ bản, tính minh bạch của chứng chỉ là một khung công tác nguồn mở cho các CA mà theo đó, họ đăng nhập và báo cáo các chứng chỉ mà họ cấp cho chủ sở hữu tên miền. Bằng cách này, bất kỳ ai cũng có thể xem CA nào đã cấp chứng chỉ cho các miền nào. Bất kỳ ai, hãy để chúng tôi lặp lại, bất kỳ ai cũng có thể xem các nhật ký này. Về cơ bản, nó giống như cái kho của tất cả các certs, CA, và tên miền.

Chúng tôi hy vọng điều này đã giải thích một số nhầm lẫn cho bạn.

Theo như hệ sinh thái SSL / TLS có liên quan, có một số thiếu sót cơ bản, và chứng chỉ phát hành sai / gian lận là một vấn đề lớn. DigiNotar – từng là cơ quan cấp chứng chỉ – đã phải nộp đơn xin phá sản do các kẻ lừa đảo phát hành 500 chứng chỉ bất hợp pháp từ cơ sở hạ tầng của mình. Tính minh bạch của chứng chỉ nhằm mục đích kiềm chế những nỗ lực đó và tạo ra một môi trường tin cậy.

Chứng nhận Mis-Issuance là gì?

Chứng nhận phát hành sai (Certificate mis-issuance) xảy ra khi chứng chỉ không được cấp cho bên dự định.

Chứng chỉ được gọi là phát hành sai nếu…

  • CA cấp chứng chỉ cho bên không đúng
  • Chứng chỉ được phát hành độc hại mà không có sự đồng ý của CA

Hãy xem xét hai trường hợp sau:

  • Trường hợp 1: Nếu CA nhầm lẫn cấp chứng chỉ cho miền không chính xác. Giả sử, thay vì phát hành chứng chỉ cho miền example.com, CA phát hành một chứng chỉ cho exemple.com. Bây giờ các chủ sở hữu tên miền của emxample sẽ tự hỏi tại sao mình chưa được xác nhận bởi CA?
  • Trường hợp 2: Giả sử bạn là cơ quan cấp chứng chỉ và bạn phát hành hàng nghìn chứng chỉ trên cơ sở hàng ngày bằng cách xác thực danh tính của tổ chức phát hành chứng chỉ. Một ngày, thật không may, một hacker phát hành chứng chỉ bằng cách phá vỡ quy trình xác thực của bạn và đặt ra là người khác. Bằng cách này, hacker có được một nền tảng tốt để thực hiện các cuộc tấn công trên mạng. Vụ việc này được phát hiện bởi một nhà nghiên cứu bảo mật phát hành. Sự cố như vậy đã xảy ra trong quá khứ và đã trở thành thảm họa cho các CA như vậy (DigiNotar)

Dưới đây là cách minh bạch của chứng chỉ có thể trợ giúp

 

Trong cả hai trường hợp này, CA đã ghi lại các chi tiết cert, nó sẽ giúp ích rất nhiều.

Trong trường hợp đầu tiên, CA sẽ không có lỗi khi phát hành một chứng nhận cho một bên cố tình (mặc dù câu hỏi vẫn có thể được nêu ra như thế nào việc xác minh bị bỏ qua).

Theo như trường hợp thứ hai là có liên quan, chủ sở hữu tên miền của example.com có ​​thể đi đến nhật ký CT và thấy rằng cert của anh ta / cô ấy đã bị phát nhầm đến exemple.com và báo cáo điều này cho CA. Vì vậy, bất kỳ thiệt hại thêm có thể tránh được.

Để chi tiết bạn cũng có thể xem thêm cách Certificate Transparency tính minh bạch của chứng chỉ hoạt động như thế nào.

Tóm lại, tính minh bạch của chứng chỉ  CT là một điều cấp thiết cho người tiêu dùng.

bình luận

Leave a Comment