Certificate Transparency

Certifikat gennemsigtighed er et Google initiativ. Google Chrome bruger certifikatets gennemsigtighed for at kontrollere, om et SSL certifikat er blevet udstedt legitimt. Certifikatets gennemsigtighed anvendes aktivt til EV certifikater, og flere og flere CA'er sender deres certifikater til certifikatets gennemsigtighedslister.

Hvordan virker Certificate Transparency?

Certificate Transparency (CT) er et system udviklet af Google, der registrerer udstedte certifikater i en sikret offentligt tilgængelig log. Når du besøger et websted, kontrollerer Chrome i disse logfiler, om det fundet SSL certifikat er det rigtige. Logfilerne registrerer hvert domænenavn, hvornår der er udstedt og af hvilken CA (udsteder af certifikatet). En browser kan derefter konsultere denne liste, hvis en SSL sikret side besøges. Hvis det anvendte certifikat ikke findes på denne liste, er certifikatet derfor (eventuelt) fejlagtigt eller svigagtigt udstedt. Browseren kan derefter tage de nødvendige handlinger. Konsekvenser omfatter visning af et EV SSL certifikat uden en grøn adresselinje, der giver en fejlmeddelelse eller blokering af adgang til webstedet.

Hvorfor Certificate Transparency?

Browsere bruger kontrolmekanismer som CRL og OCSP. Begge teknikker bruger statusoplysninger for en CA til dette. Ved at bruge CT er browsere ikke længere afhængige af oplysningerne fra CA'erne. Derudover fortæller CRL og OCSP kun, om et certifikat er udløbet eller er trukket tilbage. CT angiver også hvilket certifikat af hvilken CA skal bruges. Dette giver en ekstra garanti, hvis et certifikat fra en CA misbruges. Dette fremgår ikke af en CRL kontrol, men fra CT listen.

Hvad skal der ske?

Google er begyndt at tjekke for CT i Chrome version 33, fra den 1. februar 2015 kræves CT for alle EV certifikater. Manglen på CT oplysninger fra denne dato betyder, at Chrome ikke vil vise en grøn bjælke. Alle CA'er deltager i dette initiativ og sikrer, at certifikater de udsteder er kendt på CT listen. I oktober 2016 meddelte Google at kræve Certificate Transparency inden oktober 2017 for alle certifikater. Efter denne dato vises et certifikat, der ikke vises i CT logfilen, som ukendt i Chrome. Dette gælder derfor for alle typer SSL certifikater fra alle udgivere. For at give alle involverede parter mere forberedelse, meddelte de i august 2017, at de ville udsætte denne frist i 6 måneder og krævede Certificate Transparency fra april 2018.

Hvordan vises mit certifikat på CT-listen?

Tilføjelse af certifikater til CT logfilerne sker af certifikatmyndigheden, og slutbrugeren eller certifikatindehaveren behøver ikke gøre noget. Certifikater tilføjes til listen, før de faktisk udstedes. Du behøver ikke tage højde for en ekstra ventetid før dit certifikat kan bruges.