Google Chrome 宣布在2017年十月以后发行的网站需要遵守 Chrome 的凭证透明化政策,才会被浏览器认可。
SSL数位凭证是什么?
SSL数位凭证是证明你的网站在资料传输时有加密的证书,SSL 是在资料传输时进行加密,即使有心人想要盗取,也无法破译的传输资料。因此 SSL 可以保障机密资料的安全,增加客户的信心,通常使用者会向值得信赖的凭证机构(CA – Certificate Authority)申请凭证,但近年来,网络上越来越多恶意攻击、人为的疏忽等问题,导致证书出现误发读情况,Google为了要降低这种情况发生,制定了凭证透明化政策以减少凭证假冒、CA厂商误发既中间人(攻击者可以拦截通讯双方的通话并插入新的内容)的行为,增加SSL数位凭证的透明度和可信度。
-
Certificate Logs (证书纪录表)
Certificate Logs会纪录你的域名(Domain)证书签发行为,凭证只能增加纪录,不能被删减、修改或插入,也有提供特殊的加密机制,以防止修改或是不当的行为,此记录表提供任何人去查询凭证相关资料
-
Certificate Monitors (证书监视)
Monitors会定期看证书记录表,监视是否有可疑的证书,例如:不合法或未经授权的证书,和不寻常的证书延期与奇怪权限等等。
-
Certificate Auditors (证书审核)
Auditors会检查记录表是否运作正常,并会确认新增的纪录没被人删除或更改,而且他也会验证一个特定的证书是否出现在记录表当中,如果证书没有在纪录表上注册,那这证书就有可疑了。
目前CT(Certificate Transparency)只有提供给DV(Domain Validation)和EV(Extended Validation)的用户,你可以根据以下步骤检视你的凭证是否有加入CT的机制:
点选网址前方的绿色锁头 -> 点选详细资料
会出现在视窗的下方的资讯:点选左方Main Origin里的网址,查看右方的资讯区块是否有Certificate Transparency的资讯
目前已经越来越多CA厂商导入凭证透明化的机制,像是GlobalSign的SSL数位凭证,如果你要购买凭证时必须先询问CA是否有提供这个机制,这样就能确保你的网站受到Google Chrome 的认可了!
Credit: https://www.inside.com.tw
