近期，銳成面向大眾推出SSL證書透明度日志查詢工具。作為證書生態(tài)系統(tǒng)的輔助工具，CT Log可以通過輸入域名或企業(yè)名稱查詢旗下域名所有SSL證書的簽發(fā)記錄，識別過期、吊銷、誤簽或惡意簽發(fā)的SSL證書。

如今全球有數(shù)百個受信任的CA機構(gòu)，任何一家CA都有權(quán)利為您的域名頒發(fā)有效的SSL證書。如果CA機構(gòu)未按照驗證機制誤簽SSL證書，或CA系統(tǒng)被黑而簽發(fā)惡意證書或偽造證書，導(dǎo)致這些非法簽發(fā)的SSL證書流入網(wǎng)絡(luò)，威脅互聯(lián)網(wǎng)的安全。因為PKI體系中的這個漏洞，近年來發(fā)生了不止一次SSL證書偽造事件！

早在2015年，谷歌發(fā)現(xiàn)賽門鐵克旗下的 Root CA 未經(jīng)同意簽發(fā)了眾多域名的數(shù)千個證書，其中包括谷歌旗下的域名和不存在的域名，該 Root CA 簽發(fā)的證書可能被用于攔截、破壞或冒充谷歌產(chǎn)品或用戶的安全通信。

2017年3月，谷歌和火狐調(diào)查又發(fā)現(xiàn)賽門鐵克未經(jīng)授權(quán)誤簽發(fā)了 127 張 SSL 證書，隨著調(diào)查進一步開展發(fā)現(xiàn)誤簽發(fā)的證書數(shù)量達到驚人的 3 萬多張！谷歌表示，此次誤簽證書的原因是賽門鐵克未能正確驗證域名，對于申請?zhí)厥庥蛎?SSL 證書的申請者身份審核不嚴(yán)格。此外，他們還指出，賽門鐵克公司既沒有對未經(jīng)授權(quán)發(fā)行的證書進行日志審核，也沒有對這一缺陷進行改進。

所以，當(dāng)CA機構(gòu)的權(quán)利被濫用或是操作失誤簽發(fā)了不該簽發(fā)的SSL證書，誰能監(jiān)督、檢測、發(fā)現(xiàn)這些惡意或誤簽的數(shù)字證書？

此時，證書透明度（Certificate Transparency）應(yīng)運而生。CT Log策略規(guī)定CA必須要公布每天簽發(fā)的SSL證書，并對CT日志進行監(jiān)控、審計。未遵循CT Log策略標(biāo)準(zhǔn)的網(wǎng)站安全證書，瀏覽器將彈出此網(wǎng)站證書不符合CT要求的警告，提醒用戶不予信任以免遭受攻擊，因為自2018年4月開始，谷歌、火狐、蘋果等瀏覽器相繼開始強制執(zhí)行SSL證書透明度政策。

（未符合證書透明度策略的不安全警告）

由此可見，證書透明度機制為SSL證書信任提供了額外的安全保障，讓瀏覽器客戶端不只是簡單的信任CA，而是讓用戶或企業(yè)可以隨時通過CT Log查詢和監(jiān)控誰為自己的域名簽發(fā)了SSL證書，從而確保證書的合法性。

這就是SSL證書透明度日志的重要功能特點！

銳成新推的CT Log查詢工具允許瀏覽器廠商、CA同行、證書申報者以及終端用戶等不同身份的人員都能自由地且隨時檢測是否存在未經(jīng)授權(quán)頒發(fā)的SSL證書，從而避免人為錯誤或假冒行為導(dǎo)致誤簽證書。

此外，由于CT日志只能添加證書記錄，不能修改或刪除舊的記錄，所以，凡是已簽發(fā)的、過期的或是吊銷的SSL證書均有記錄登記，通過銳成證書透明度日志查詢工具可以獲取到為此域名頒發(fā)的所有SSL證書歷史記錄，包括CA簽發(fā)機構(gòu)、證書有效期、當(dāng)前狀態(tài)以及其他證書的重要詳細信息。

（輸入racent.com查詢SSL證書簽發(fā)日志樣例）

據(jù)悉，目前國內(nèi)的SSL證書透明度日志查詢工具比較罕見，銳成推出的這款證書透明查詢工具添補了這一空缺，任何人只需要輸入域名或企業(yè)名稱就能查詢到旗下域名所有SSL證書的簽發(fā)記錄，識別過期、吊銷、誤簽或惡意簽發(fā)的SSL證書，這無疑有助于數(shù)字證書生態(tài)系統(tǒng)更加安全地運行！