证书透明度和私人安装的证书
Certificate transparency and privately installed certs
有谁知道 Google can/will 推广的 certificate transparency 功能是否适用于私人安装的 CA?
在某些情况下,Chrome 似乎已经是 enforcing CT,大概是通过审核 public CA 日志。对于进行合法中间人的私人 CA,显然不会有 public CA 审计信息,而且很高兴知道 Chrome 不会对此犹豫不决。
CT 强制政策仅适用于 public CA,不适用于自签名或私有 CA。我能找到的最接近证实这一点的是来自 Google 的 Ryan Sleevi 的 this tweet。
CT 强制政策似乎也适用于内部 EV 证书。
而在 Internet Explorer 中,地址栏是绿色的,带有 EV 公司名称,而在 chrome 中,它仅列为 "Secure | https"。
仍然是一个问题,私有证书确实存在 CT 问题,正如我在此处解释的那样:
Referrer policy hide the referrer of self-signed certificates
官方文档明确表示证书透明度仅适用于公开信任的 CA,即您的浏览器或设备开箱即用支持的 CA,无需任何额外的配置步骤。
对于手动安装的 CA,如果这些证书不是或尚未被公众信任,则无需启用对证书透明度的支持。此外,Certificate Transparency Logs 不接受来自这些 CA 的证书,因此无法支持 CT。
有谁知道 Google can/will 推广的 certificate transparency 功能是否适用于私人安装的 CA?
在某些情况下,Chrome 似乎已经是 enforcing CT,大概是通过审核 public CA 日志。对于进行合法中间人的私人 CA,显然不会有 public CA 审计信息,而且很高兴知道 Chrome 不会对此犹豫不决。
CT 强制政策仅适用于 public CA,不适用于自签名或私有 CA。我能找到的最接近证实这一点的是来自 Google 的 Ryan Sleevi 的 this tweet。
CT 强制政策似乎也适用于内部 EV 证书。
而在 Internet Explorer 中,地址栏是绿色的,带有 EV 公司名称,而在 chrome 中,它仅列为 "Secure | https"。
仍然是一个问题,私有证书确实存在 CT 问题,正如我在此处解释的那样: Referrer policy hide the referrer of self-signed certificates
官方文档明确表示证书透明度仅适用于公开信任的 CA,即您的浏览器或设备开箱即用支持的 CA,无需任何额外的配置步骤。
对于手动安装的 CA,如果这些证书不是或尚未被公众信任,则无需启用对证书透明度的支持。此外,Certificate Transparency Logs 不接受来自这些 CA 的证书,因此无法支持 CT。