证书透明度和私有安装的证书

时间:2016-10-26 16:13:44

标签: google-chrome ssl ssl-certificate certificate-transparency

是否有人知道Google推广的certificate transparency功能是否适用于私人安装的CA?

在某些情况下,Chrome似乎已经enforcing CT,可能是通过审核公共CA日志。对于合法中间人的私人CA来说,显然不会成为公共CA审计信息,并且知道Chrome不会对此不感兴趣。

4 个答案:

答案 0 :(得分:1)

CT强制执行政策仅适用于公共CA,而不适用于自签名或私有CA.我能找到的最接近确认的是来自Google的Ryan Sleevi的this tweet

Image of Ryan Sleevi's tweet

答案 1 :(得分:0)

CT执法政策似乎也适用于内部EV证书。

在Internet Explorer中,地址栏为绿色,包含EV公司名称,而在Chrome中,它仅列为“安全| https”。

答案 2 :(得分:0)

仍然是一个问题,正如我在这里解释的那样,私人证书确实存在CT问题: Referrer policy hide the referrer of self-signed certificates

答案 3 :(得分:0)

官方文档明确指出,证书透明度仅适用于公开信任的 CA,即您的浏览器或设备开箱即用支持的 CA,无需任何额外的配置步骤。

对于手动安装的 CA,如果这些证书不是或未被公众信任,则没有必要启用对证书透明度的支持。此外,Certificate Transparency Logs 不接受来自这些 CA 的证书,因此不可能支持 CT。

参考: https://chromium.googlesource.com/chromium/src/+/refs/heads/main/net/docs/certificate-transparency.md#Locally_trusted-CAs