证书透明度
证书透明度 是什么?
证书透明度由 RFC 6962 与 9162 定义的 TLS 证书追加式公共日志体系,任何人都可审计任意域名实际签发的证书。
Certificate Transparency(CT)要求公共 CA 将所签发的每张 TLS 证书提交到一个或多个采用 Merkle 树的追加式日志中,日志返回签名证书时间戳(SCT),浏览器可对其进行验证。crt.sh、Censys、Cert Spotter 以及谷歌的 CT 日志浏览器等服务都可公开检索这些日志。防御者借助 CT 发现影子 IT 的子域、识别仿冒钓鱼证书、监控非法签发并在调查中跨数据源跳转。威胁猎人会持续订阅 CT 数据流,以监控匹配品牌关键词或攻击模式的新证书,通常签发后几分钟内即可发现,比被动 DNS 或 WHOIS 更快。
● 示例
- 01
当 crt.sh 上出现 login-yourcompany-support.com 的新证书时收到告警。
- 02
清点某 CA 为本机构签发过证书的所有子域,包括团队已遗忘的部分。
● 常见问题
证书透明度 是什么?
由 RFC 6962 与 9162 定义的 TLS 证书追加式公共日志体系,任何人都可审计任意域名实际签发的证书。 它属于网络安全的 防御与运营 分类。
证书透明度 是什么意思?
由 RFC 6962 与 9162 定义的 TLS 证书追加式公共日志体系,任何人都可审计任意域名实际签发的证书。
证书透明度 是如何工作的?
Certificate Transparency(CT)要求公共 CA 将所签发的每张 TLS 证书提交到一个或多个采用 Merkle 树的追加式日志中,日志返回签名证书时间戳(SCT),浏览器可对其进行验证。crt.sh、Censys、Cert Spotter 以及谷歌的 CT 日志浏览器等服务都可公开检索这些日志。防御者借助 CT 发现影子 IT 的子域、识别仿冒钓鱼证书、监控非法签发并在调查中跨数据源跳转。威胁猎人会持续订阅 CT 数据流,以监控匹配品牌关键词或攻击模式的新证书,通常签发后几分钟内即可发现,比被动 DNS 或 WHOIS 更快。
如何防御 证书透明度?
针对 证书透明度 的防御通常结合技术控制与运营实践,详见上方完整定义。
证书透明度 还有哪些其他名称?
常见的别称包括: CT 日志, CT。
● 相关术语
- network-security№ 1090
SSL(安全套接层)
TLS 的历史前身,由 Netscape 于 1990 年代开发用于加密 Web 流量,如今已被正式废弃。
- network-security№ 1159
TLS(传输层安全)
由 IETF 标准化的加密协议,为两个联网应用之间的通信提供机密性、完整性与认证。
- network-security№ 156
证书颁发机构(CA)
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
- defense-ops№ 792
被动 DNS
记录已观测到的 DNS 解析的历史数据库,可用来查询某域名曾经指向的 IP,以及某个 IP 上历史共存的域名。
- defense-ops№ 1236
WHOIS 查询
对 WHOIS 或 RDAP 数据库的查询,可返回域名或 IP 的注册信息,包括注册商、注册人、日期和域名服务器。
● 参见
- № 154Censys