近日,万众瞩目的2018 WWDC(2018年苹果全球开发者大会)在美国加利福利亚州落下帷幕。苹果公司在会上宣布了证书透明度(Certificate Transparency,简称CT)的要求:从2018年10月15日起,所有的SSL/TLS证书必须遵守证书透明度,而对在此之前颁发的证书,苹果不会严格要求必须加入CT。此政策不仅适用于Safari浏览器,还包括整个macOS和iOS平台。这意味着除了Safari之外,还涉及到使用SSL证书连接的其他应用环境。
苹果公司新的证书透明度政策如下:
我们的政策要求至少有两个由CT日志签发的签名证书时间戳(SCT),而该日志既可以是曾经批准的,也可以是在检查时在当前批准的:
至少有两个SCT是由当前批准的CT日志签发,并且其中一个通过TLS扩展或OCSP Stapling(TLS证书状态查询扩展)提供;
至少有一个嵌入式SCT由当前审批的CT日志签发,并且至少来自曾经或当前审批日志的SCT数量根据有效期的长度应符合苹果公司的要求。
CT基本原理(如图)
证书透明度是由谷歌开发并力推的一种旨在确保证书系统安全的透明审查技术,通过CT可以快速的分辨出被错误或者恶意颁发的数字证。最早只对所有扩展验证(EV)SSL/TLS证书进行要求,此后谷歌将该要求的覆盖面扩展到了所有类别的SSL证书,并于今年4月起,要求所有Chrome浏览器中的证书都要支持CT政策。
苹果是继谷歌后第二个明确要求证书透明度执行期限的主流浏览器厂商,不论是苹果还是谷歌,其强制要求CT的目的都是为了减少恶意颁发或未经授权的证书。用户端浏览器通过对比Web服务器和审计日志服务器上的证书和SCT信息,进一步确认证书的真伪,确保网站访问者不被恶意或者错误的SSL证书所欺诈,从而提高 HTTPS 网站的安全性。当用户看到浏览器提示的证书透明度信息时,会有效增强用户的访问信任,使用户可以放心浏览和交易。
天威诚信作为国家工信部授牌的CA机构,所拥有的全线SSL证书早已实现支持证书透明度要求,广大企业和站长可放心购买和使用,天威诚信将持续为中国用户提供最优质的本地化服务。
