行业新闻与博客

自 2018 年 4 月 30 日起，证书透明度现在是强制性的

Google 要求所有证书颁发机构在证书透明日志中记录他们颁发的 SSL 证书的第一天。不这样做会导致浏览器警告，告诉用户您的网站证书不符合 CT 标准。

Chrome 将要求在 2018 年 4 月 30 日之后发布的所有 TLS 服务器证书均符合 Chromium CT 政策。 在此日期之后，当 Chrome 连接到提供不符合 Chromium CT 政策的公开信任证书的

网站时，用户将开始看到一整页插页式广告，指出其连接不符合CT规范。 通过不符合 CT 规范的 https 连接提供的子资源将无法加载，并会在 Chrome DevTools 中显示错误。

其他浏览器已经承诺效仿，但考虑到 Chrome 的市场份额（大约 60％ 的互联网用户），谷歌决定单独推进 CT 将使其成为事实上的授权。

什么是证书透明度？

证书透明是一种记录 CA 颁发的数字证书的机制，以更好地防止错误发布并协助撤销。

证书透明度（Certificate Transparency，CT）是一种帮助域名所有者和行业监督犬发现漏报的机制。 这是已发布证书的公开日志。 此日志列出了所有证书的信息，以便任何有兴趣的人

都可以检查它。 在实践中，有多个日志，由于 SSL 生态系统的规模，这是需要的 - 每年颁发数百万个证书。 每个日志必须遵循关于它存储证书的方式和方式的定义标准。

再加上对 CAA 记录的要求（限制哪些 CA 可以针对哪些域发布），这应该是朝着更安全的互联网迈出的大胆步骤，CT 日志为 CA 提供了更大的责任，并帮助观察狗在它们进入雪球之前发

现问题更大的东西。

谷歌一直在推动证书透明度很长一段时间。 起初它是自愿的，只有 CA 在发布错误之后才被迫参与。 赛门铁克着名的同意由于发行错误而登录其证书。 但在此之前，除了 EV 证书和自愿

参与 CT 之外，还不是行业标准。 谷歌一直在努力改变这种情况，甚至延迟了去年的最后期限，让 CA 有更多时间。

记录证书现在是所有 CA 的要求。

准备证书透明度需要做什么？

除非您正在运行证书颁发机构，否则不会。 这是一个只影响证书颁发方的行业变化，所以如果你只是倒卖，你没有什么可担心的。 最终用户也是如此。 此外，如果您的 SSL 证书在 2018

年 4 月 30 日之前发布且未被记录，那么您的 SSL 证书不会中断。 这一变化不具有追溯力。

但是未来，CA 必须将所有 SSL 证书记录在证书透明度日志中，以免他们收到浏览器警告。