前两天的WWDC大会上,Appple宣布:在2018年10月15日开始,所有SSL/TLS证书都必须记录在公共可用的证书透明度日志(CT日志)中,才能被Safari浏览器信任,包括macOS和iOS平台。不符合的证书将会导致TLS连接失败,应用程序连接到Internet服务或Safari也将显示错误并拒绝建立连接。
Apple的新证书透明度政策要求
要求至少有两份由CT日志签发的签名证书时间戳(SCT):
目前批准的CT日志中至少有两个SCT,通过TLS扩展或OCSP Stapling提供一个SCT;
|
证书寿命 |
来自不同日志的SCT数量 |
|
少于15个月 |
2 |
|
15至27个月 |
3 |
|
27至39个月 |
4 |
| 超过39个月 |
5 |
根据上诉表格要求,符合要求的证书至少有两个独立的CT日志中登录,而长寿命证书则需要更多证书。而且SCT中的时间戳必须是从SCT签发时批准的CT日志列表中发布的。
之前,Google曾宣布了在4月30日起,所有新签发的SSL证书都必须记载到证书透明日志(CT),否则客户端使用7月发布的Chrome 68正式版将对使用这些证书的网站发出不安全警告。自Google宣布执行证书透明度开始,所有新的GDCA证书都会自动提交并符合CT标准。而这些证书也将会支持Appple10月份执行证书透明度政策要求。虽然目前Mozilla还没明确何时执行证书透明日志,但也表示全力支持。为了提供全网的安全性,相信Firefox也很快会执行证书透明日志。
证书透明度
证书透明度(Certificate Transparency),简称为CT策略,中文。该政策是由谷歌主导并由 IETF 标准化为RFC 6962。证书透明度是一个开放的审计和监控系统,要求证书颁发机构公开宣布其颁发的每一个SSL证书,将其记录到证书日志中,可以让任何域名所有者或者证书颁发机构,确定证书是否被错误签发或者恶意使用,从而保障证书签发流程安全,强化SSL证书的可信度及HTTPS网站的安全性。
领取优惠
提交成功!