Компания Google выдвинула требования к удостоверяющим центрам сертификации вносить все выданные ими публичные сертификаты, созданные после 30 апреля 2018 года, в общедоступные журналы Certificate Transparency. Сертификаты, которых не будет в логах, браузер Google Chrome будет автоматически блокировать с отображением соответствующей ошибки.
Об этих изменениях компания оповестила удостоверяющие центры, которые зарегистрированы в CCADB (Common CA Database). Предприятиям, которые используют собственные внутренние сертификаты, дана возможность отключить обязательную проверку, однако для этого им необходимо будет задать централизованные правила, привязанные к учетным записям пользователей.
Цель создания журнала Certificate Transparency заключается в ведении публичных логов всех выданных сертификатов, что обезопасит от мошенничества с сертификатами – тайно создать сертификат не удастся.
Для защиты уже внесенных данных об изменениях в логах задействована древовидная структура, так называемое “Дерево Меркла”, в котором каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному хешированию. Получается, что пользователь может проверить всю историю операций и то, насколько данные в базе корректны.
Источник: securitylab.ru
