Прозрачность сертификатов
Что такое Прозрачность сертификатов?
Прозрачность сертификатовЭкосистема публичных append-only журналов TLS-сертификатов, определённая RFC 6962 и 9162, позволяющая всем проверять, какие сертификаты выпущены для любого домена.
Certificate Transparency (CT) обязывает публичные CA отправлять каждый выпущенный TLS-сертификат в один или несколько append-only журналов на базе деревьев Меркла и получать Signed Certificate Timestamp, который проверяет браузер. Журналы публично доступны через crt.sh, Censys, Cert Spotter и просмотрщик CT от Google. Защитники используют CT для инвентаризации теневых поддоменов, обнаружения фишинговых сертификатов-двойников, мониторинга несанкционированных выпусков и поворотов в расследованиях. Охотники за угрозами следят за CT-потоками почти в реальном времени и обнаруживают новые сертификаты быстрее, чем через pDNS или WHOIS.
● Примеры
- 01
Тревога, когда на crt.sh появляется свежий сертификат для login-yourcompany-support.com.
- 02
Инвентаризация всех поддоменов, для которых CA выпускала сертификаты, включая забытые.
● Частые вопросы
Что такое Прозрачность сертификатов?
Экосистема публичных append-only журналов TLS-сертификатов, определённая RFC 6962 и 9162, позволяющая всем проверять, какие сертификаты выпущены для любого домена. Относится к категории Защита и операции в кибербезопасности.
Что означает Прозрачность сертификатов?
Экосистема публичных append-only журналов TLS-сертификатов, определённая RFC 6962 и 9162, позволяющая всем проверять, какие сертификаты выпущены для любого домена.
Как работает Прозрачность сертификатов?
Certificate Transparency (CT) обязывает публичные CA отправлять каждый выпущенный TLS-сертификат в один или несколько append-only журналов на базе деревьев Меркла и получать Signed Certificate Timestamp, который проверяет браузер. Журналы публично доступны через crt.sh, Censys, Cert Spotter и просмотрщик CT от Google. Защитники используют CT для инвентаризации теневых поддоменов, обнаружения фишинговых сертификатов-двойников, мониторинга несанкционированных выпусков и поворотов в расследованиях. Охотники за угрозами следят за CT-потоками почти в реальном времени и обнаруживают новые сертификаты быстрее, чем через pDNS или WHOIS.
Как защититься от Прозрачность сертификатов?
Защита от Прозрачность сертификатов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Прозрачность сертификатов?
Распространённые альтернативные названия: CT-журналы, CT.
● Связанные термины
- network-security№ 1090
SSL (Secure Sockets Layer)
Исторический предшественник TLS, разработанный Netscape в 1990-х для шифрования веб-трафика и формально объявленный устаревшим.
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
- network-security№ 156
Удостоверяющий центр (УЦ)
Доверенная организация, выпускающая и подписывающая цифровые сертификаты, связывая открытые ключи с подтверждёнными идентичностями — например, доменами или организациями.
- defense-ops№ 792
Пассивный DNS
Историческая база наблюдаемых DNS-ответов, позволяющая выяснить, на какие IP указывал домен и какие домены делили один IP во времени.
- defense-ops№ 1236
WHOIS-запрос
Запрос к базе WHOIS или RDAP, возвращающий регистрационные данные домена или IP: регистратора, регистранта, даты и серверы имён.
● См. также
- № 154Censys