我想使用Google证书透明性API来检查我域的恶意SSL证书(如果有)。我可以获取所有证书,但是如何检查证书是否合法。
我已经找到了该存储库(https://github.com/ProtonMail/ct-monitor),但这只是搜索证书并将其存储。除非我们首先验证证书,否则存储这些证书的用途是什么。
任何人都可以建议我如何使用此Google证书透明性API来了解恶意SSL证书。
答案 0 :(得分:0)
证书透明性日志为explained on the CT site:
简单的网络服务,可以保证加密, 可公开审核的证书的仅追加记录。任何人都行 将证书提交到日志,尽管证书颁发机构将 可能是最重要的提交者。
以这种方式记录证书允许感兴趣的方(例如域所有者)监视这些日志中是否存在恶意/错误 项。
但是在CT日志中记录的证书并不意味着它不是一个坏证书。正如CT网站上所述:
证书透明度依靠现有的缓解机制 处理有害证书和CA(例如证书) 撤销-缩短的检测时间将加快整体检测速度 发现有害证书或CA时的缓解过程。
因此CT API不会帮助您确定证书是否是恶意的-您需要使用其他方法进行检查,例如检查证书吊销列表(CRL)或使用在线证书状态协议({{3} })。请参阅与此相关的OCSP。有些网站允许检查证书,例如question on how to check certs。现代浏览器似乎正在集中使用CRL压缩列表-revocationcheck.com,而Mozilla's now using CRLite。
CT API允许您验证CT日志中是否已记录证书,这意味着域所有者可以对其进行监视,并立即将任何恶意/错误的证书插入相关的CRL中,以便不再使用它们。 / p>