什么是证书透明度(Certificate Transparency)?

SSL基础概念

什么是加密?

加密是一种新型的电子信息保护方式,就像过去使用保险箱和密码锁保护纸上信息一样。加密是密码学的一种技术实现方式:信息被转换为难以理解的形式(即编码),以便只有使用密钥才能将其转译为可理解的形式(即解码)。以设备加密为例,需要按照程序或设备提供的明确说明,利用可解译信息的 PIN 码或利用复杂的算法来破解密码。加密实际上是依靠数学对信息进行编码和解码。

什么是 HTTPS?

HTTP(超文本传输协议)是浏览器连接到网站时采用的技术手段。HTTPS 是经过加密的 HTTP 连接,更为安全可靠。如果您在网址部分看到的是 HTTPS 而非 HTTP,则表明与网站的连接是安全的。对于安全的连接,大多数浏览器还会显示安全连接图标,例如 Chrome 会显示一个绿色的挂锁图标。

为什么要使用 HTTPS?

即使您的网站并不处理敏感讯息,您也应使用 HTTPS 来保护您的网站。HTTPS 有助于保障网站的完整性,并捍卫用户的隐私和安全。此外,只有提供 HTTPS 的网站才能使用最新推出的一些非常强大的网络平台功能。

为什么加密非常重要?

我们的讯息要穿过复杂的网络系统才能从 A 点到达 B 点。在这个过程中,讯息很容易被知道如何操纵网络的非既定接收方拦截。此外,便携式设备(不仅仅只是手机)已成为我们生活中必不可少的一部分,其中不仅有我们的照片、讯息记录、电子邮件,还有存储在应用中的私人数据(为了方便起见,我们一般设为始终登入这些应用)。一旦设备丢失或被盗,捡到者或盗窃者就很容易获取我们最私密的信息,从而使我们面临身份被盗用、金钱诈骗甚至人身伤害等风险。

在这些情况下,加密机制可以为我们提供保护。经过加密的讯息在网络传输过程中即使被拦截,拦截方也无法理解其中的内容。此类讯息称为“密文”,而未经加密的讯息则是以“明文”形式传输的。对于设备加密,如果没有为加密的设备进行解密所需的 PIN 码或密码,不轨之徒就无法获取手机上的内容,而只能彻底清空设备。丢失数据固然令人痛心,但至少好过身份被盗用。

有哪些类型的加密?

在传输期间加密,可保护从最终用户到第三方服务器的信息流。例如,当您在购物网站上输入信用卡凭据时,安全的连接有助于保护您的信息不会被第三方中途拦截。只有您和连接到的服务器可以解密这些信息。

端到端加密,指的是只有发送方和接收方持有用于加密和解密讯息的密钥。即使是负责控制用户讯息传输系统的服务提供商,也无法获取讯息的实际内容。

静态时加密,有助于保护未处于传输状态的信息。例如,计算机中的硬盘可以使用静态时加密机制,以确保在计算机被盗后盗窃者无法获取其中的文件。

什么是证书授权中心?

证书授权中心 (CA) 是指向网站运营商签发数字证书的组织。操作系统(例如 Mac OS X 和 Windows)和网络浏览器(例如 Chrome、Firefox、Safari)会预加载一系列可信的根授权中心。新型操作系统通常会随附超过 200 个可信 CA,其中部分 CA 由政府管理。网络浏览器对每个 CA 的信任程度是相同的。此外,许多 CA 还会委托中间 CA 来签发证书。

什么是证书?

当您通过安全连接 (HTTPS) 访问某个网站时,该网站会向浏览器提供数字证书。此证书用于识别该网站的主机名,由已验证网站所有者的证书授权中心 (CA) 签发。只要用户信任相应的 CA,便可信任证书中提供的身份证明。

证书透明度

为什么 Certificate Transparency 非常重要?

当前模式要求所有用户都必须相信,数百个 CA 组织在为任何网站签发证书时不会出现任何错误。但在有些情况下,人为错误或假冒行为可能会导致误发证书。Certificate Transparency (CT) 改变了签发流程,新流程规定:证书必须记录到可公开验证、不可篡改且只能附加内容的日志中,用户的网络浏览器才会将其视为有效。通过要求将证书记录到这些公开的 CT 日志中,任何感兴趣的相关方都可以查看由授权中心签发的所有证书。这能够促使授权中心在签发证书时更加负责,从而有助于形成一个更可靠的系统。最终,如果使用 HTTPS 的某个网站的证书未记录到 CT 日志中,那么当用户访问该网站时,浏览器可能不会显示安全连接挂锁图标。

请注意,只有负责指定网域的组织才知道签发的哪些证书已获授权。如果证书未获授权,网域用户应与签发证书的 CA 联系,以确定应采取的适当措施。

什么是 Certificate Transparency 日志?

Certificate Transparency 日志是采用 RFC 6962 的服务器,允许任何相关方提交由广受信任的 CA 签发的证书。一旦有日志接受了某个证书,该日志的加密属性即可保证相应条目永远不会被移除或修改。

此处显示的证书来自哪里?

透明度报告中的证书是从一系列有效 Certificate Transparency 日志中获取的。这些日志中的许多证书是由 CA 在签发流程期间提交的。此外,我们还添加了 Google 在将网页编入索引时遇到的证书。网站所有者可以在此网站中搜索自己所控制的域名,以确保没有针对其网域误发证书的情况。

为什么我的证书没有显示在此处?

证书记录到至少一个 CT 日志后,就会显示在此处。您可以将自己的证书提交到某个日志,如果不行的话,您可能需要与 CA 联系。技术用户可以使用相关工具(例如 https://certificate-transparency.org 上提供的开放源代码工具)自行将证书提交到日志。

为什么有些网站有多个证书签发方?

许多大型组织会使用多个 CA 来满足各种各样的需求,其中可能包括合同义务、实施考虑事项和费用。

为什么有些证书列有多个 DNS 名称?

许多组织会选择签发可在多个网站使用的单一证书。例如,大型网站经常会为其资源使用多个子网域(如 www.google.com、mail.google.com、accounts.google.com),但会以单一证书指定所有这些子网域。

https://www.myssl.cn

时间: 2024-08-06 03:07:16

什么是证书透明度(Certificate Transparency)?的相关文章

证书透明度Certificate Transparency

今天发现使用google浏览器访问HTTPS网址时,点击小锁-->>连接-->>有一项服务器未提供任何certificate transparency 信息?只有google浏览器有这个提示,其他浏览器都没有这个提示!什么是证书透明度Certificate Transparency? 证书透明度Certificate Transparency是谷歌力推的一项拟在确保证书系统安全的透明审查技术,只有支持CT技术签发的EV SSL证书,谷歌浏览器才会显示绿色单位名称,否则chrome浏

C#在客户端验证数字证书(Certificate)

ServicePointManager.ServerCertificateValidationCallback = CertificateValidationCallback;//Init时执行,用于注册方法. public static bool CertificateValidationCallback(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) {

如何在Win8.1和Win2012上运用PowerShell快速生成、安装、导出自签名证书 (Self-Signed Certificate)

自签名证书用途很广,测试,开发,本地或者云端网站(比如Microsoft Azure Web Site)都会使用到.本文会介绍一种在Win8.1和Win2012 R2上使用PowerShell快速生成自签名证书,自动导出私钥并在LocalMachine\My和LocalMachine\Root下自动安装的方法.非常易用. 目前来说,我们已有的创建Self-Signed证书方法包括用MakeCert和CertMgr的,用SelfSSL或SelfSSL7的,用IIS 7/8自带功能的,或者用比较复杂

OpenSSL 下载和私钥证书、CERTIFICATE证书生成

openssl 是生成私钥和公钥证书的重要工具. Windows如何安装OpenSSL: 官网:https://www.openssl.org/community/mailinglists.html  需要自己下载编译. exe安装文件下载地址:https://slproweb.com/products/Win32OpenSSL.html 选择 Win64 OpenSSL v1.1.1d 43M的完整版本. 生成证书命令: 1.1 生成私钥命令: openssl>genrsa -aes256 -

子域名枚举艺术深度剖析

子域名枚举是信息收集中关键的一步,细节很大程度决定战果.本文参考The Art of Subdomain Enumeration,加上实践运用进行总结. 被动枚举 一.证书透明度 证书 当通过HTTPS访问web时,网站向浏览器提供数字证书,此证书用于识别网站的主机名,由证书颁发机构(CA,Certificate Authority)颁发. 证书透明度 证书透明度(Certificate Transparency)简称CT,主要用于将证书记录到公开的CT log中,日志可以被任何人浏览. 通过C

iOS10 适配 ATS(app支持https通过App Store审核) 韩俊强的博客

每日更新关注:http://weibo.com/hanjunqiang  新浪微博!iOS开发者交流QQ群: 446310206 一. HTTPS 其实HTTPS从最终的数据解析的角度,与HTTP没有任何的区别,HTTPS就是将HTTP协议数据包放到SSL/TSL层加密后,在TCP/IP层组成IP数据报去传输,以此保证传输数据的安全:而对于接收端,在SSL/TSL将接收的数据包解密之后,将数据传给HTTP协议层,就是普通的HTTP数据.HTTP和SSL/TSL都处于OSI模型的应用层.从HTTP

https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL

转自:https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL 因为项目中要用到TLS + SASL 来做安全认证层. 所以看了一些网上的资料, 这里做一个总结. 1. 首先推荐几个文章: 数字证书: http://www.cnblogs.com/hyddd/archive/2009/01/07/1371292.html 数字证书和SSL: http://www.2cto.com/Article/201203/121534.html 数字签名: http://www.

签名、加密、证书的基本原理和理解

最近开始接触后端PHP开发,里面涉及到的签名.加密.证书等概念弄得自己头晕眼花,最近查看了相关资料,下面把自己的理解写下来,有不对的地方,还请多指点指点. 数据传输安全的要满足的要求: 消息的发送方能够确定消息只有预期的接收方可以解密(不保证第三方无法获得,但保证第三方无法解密). 消息的接收方可以确定消息是由谁发送的(消息的接收方可以确定消息的发送方). 消息的接收方可以确定消息在途中没有被篡改过(必须确认消息的完整性). 对称加密 网络的数据传输从发送方发出到接收方接收到,要经过数个节点才能

keytool/JDK 秘钥证书工具用法解析

keytool是一个基于jdk的秘钥证书工具: 在上一篇tomcat集成ssl中,我们使用了keytool生成了.keystore秘钥文件,此篇我们就来介绍下该工具. 先看下前篇的用法 1.keytool生成.keystore,密码及关键信息请自行补足 keytool -genkey -alias tomcat -keyalg RSA -keystore /home/tomcat/.keystore -dname "CN=***,OU=***,O=***,L=SHANGHAI,ST=SH,C=C