Entry № 180
证书透明度
证书透明度 是什么?
证书透明度由 RFC 6962 与 9162 定义的 TLS 证书追加式公共日志体系,任何人都可审计任意域名实际签发的证书。
Certificate Transparency(CT)要求公共 CA 将所签发的每张 TLS 证书提交到一个或多个采用 Merkle 树的追加式日志中,日志返回签名证书时间戳(SCT),浏览器可对其进行验证。crt.sh、Censys、Cert Spotter 以及谷歌的 CT 日志浏览器等服务都可公开检索这些日志。防御者借助 CT 发现影子 IT 的子域、识别仿冒钓鱼证书、监控非法签发并在调查中跨数据源跳转。威胁猎人会持续订阅 CT 数据流,以监控匹配品牌关键词或攻击模式的新证书,通常签发后几分钟内即可发现,比被动 DNS 或 WHOIS 更快。
● 示例
- 01
当 crt.sh 上出现 login-yourcompany-support.com 的新证书时收到告警。
- 02
清点某 CA 为本机构签发过证书的所有子域,包括团队已遗忘的部分。
● 常见问题
证书透明度 是什么?
由 RFC 6962 与 9162 定义的 TLS 证书追加式公共日志体系,任何人都可审计任意域名实际签发的证书。 它属于网络安全的 防御与运营 分类。
证书透明度 是什么意思?
由 RFC 6962 与 9162 定义的 TLS 证书追加式公共日志体系,任何人都可审计任意域名实际签发的证书。
如何防御 证书透明度?
针对 证书透明度 的防御通常结合技术控制与运营实践,详见上方完整定义。
证书透明度 还有哪些其他名称?
常见的别称包括: CT 日志, CT。