什么是证书透明度？

证书透明度是一种公共日志，旨在通过允许任何人实时审核证书来增强SSL/TLS 证书生态系统的安全性。证书透明度可防止颁发恶意证书并检测任何错误颁发的证书。它通过提供一种持续、外部监控证书框架的机制，大大降低了未被注意到的证书错误颁发的风险。

证书透明度的核心在于维护已颁发的 SSL/TLS 证书的全面、仅可追加日志（只允许添加、不允许更改或删除的日志）。这些证书透明度日志可公开访问和验证，确保任何实体都可以随时检查证书。这种问责制有助于识别未经授权的证书并减轻可能危及安全通信的中间人 (MITM) 攻击。

证书透明度如何运作？

证书透明度要求证书颁发机构将新颁发的证书提交给 CT 日志。这些公共日志具有防篡改功能，这意味着任何修改、删除或回溯条目的企图都很容易被发现。每个日志条目都带有时间戳和加密签名，提供了一种安全且可验证的方式来监控证书颁发。

证书一旦被记录，就会收到一个签名证书时间戳 (SCT)，即证书被记录在日志中的证明。然后，Web 服务器使用这些 SCT 向连接的客户端证明他们的证书是透明的，并且是公共记录的一部分。客户端（例如 Web 浏览器）可以根据日志验证这些 SCT，确保证书的合法性，并且证书不是恶意或错误颁发的。

以下是 CT 功能的快速、分步概述：

预证书创建：证书颁发机构 (CA) 生成预证书，其中包含未来 SSL/TLS 证书将包含的相同信息

提交至日志服务器：预证书被发送到受信任的日志服务器。

来自日志服务器的响应：证书透明度日志服务器接受预证书并以“签名证书时间戳 (SCT)”进行响应。此 SCT 本质上是来自 CT 日志服务器的承诺，即在称为合并延迟 (MMD) 的指定时间段内将证书添加到其日志中。

合并延迟 (MMD)：MMD 为证书添加到日志中设置了一个合理的时间，最长时间为 24 小时。但是，MMD 不会延迟或影响数字证书的颁发或使用。

与 SSL 证书集成： SCT 伴随 SSL 证书的整个生命周期，可以集成到证书主体中或通过其他方式呈现。

信号证书发布：SSL/TLS 证书中存在 SCT 表示该证书已发布以供审查。

SCT 交付方法：证书透明度通过三种常规方法交付带有证书的 SCT：x509v3 扩展（服务器操作员无需采取其他行动）

TLS 扩展（站点运营商在TLS 握手期间使用，将 SCT 传递给客户端）

OCSP 装订（涉及服务器在 TLS 握手期间直接向客户端提供 SCT）。

证书透明度的好处

证书透明度提高了在线安全性，使网站运营商和用户都受益。通过强制公开证书记录，证书透明度提高了证书交付的安全性和透明度，防止未经授权的证书并快速检测问题。这种主动方法增强了在线互动的信心并提高了互联网安全标准。以下列出了证书透明度的四个主要优势：

安全性更高：证书透明度要求公开记录证书，从而使在线活动更加安全。证书透明度阻止未经授权的证书分发，并帮助发现任何错误颁发的证书，使敏感数据传输更能抵御潜在风险。

更简单的证书管理：CT 允许域名所有者检查其证书是否正确记录并可供公众查看，从而确保其网站的安全。这种透明度还有助于快速识别假证书，保护网站及其用户。

为用户提供更多信任：证书透明度意味着用户在网上分享敏感信息时更有信心。严格的证书颁发流程和欺诈预防让网络窃贼无可利用。

更高的互联网安全标准：CT 提高了互联网的整体安全性。通过揭露漏洞并鼓励修复，它推动了证书颁发方面的更好做法。因此，每个人都能从稳定、可预测的数据保护环境中受益，使企业和个人的在线活动更加安全。

    总之，证书透明度 (CT) 通过提供用于监控和审计颁发给网站的 SSL 证书的开放框架，显著增强了在线安全性。通过利用公共日志，CT 使任何人都可以及时检测错误颁发或恶意证书，从而防范 MITM 攻击等