Сервис от Facebook и Google предлагает проверку журналов прозрачности без вашего участия, сообщает theregister.
Facebook расширил пошлогодний Google проект прозрачности сертификатов (Certificate Transparency, CT), чтобы разработчикам было легче следить за изменчивыми сертификатами.
The Social Network ™ впервые начала предлагать инструменты, чтобы людям не приходилось самостоятельно подираться сквозь журналы, они же логи, прозрачности. Как отметила компания, средство мониторинга предложило систему поиска, которая позволяет пользователям проверять сертификаты, выпущенные для доменов и субдоменов, и подписываться на предупреждения, если что-либо изменится.
С 40 000 новых сертификатов, находящихся в более чем 20-ти логах прозрачности каждый час, отслеживание требует “ту же систему бэкэнда, на которой работает Facebook Graph”, – говорится в сообщении компании.
Объясняя это обновление, Бартош Нимчура и Дэвид Хуан сказали, что “ошибка или умышленное нарушение правил каким-либо центром сертификации может привести к выпуску сертификатов TLS, которым доверяют, и которые в то же время могут использоваться для атак типа “посредник” (man-in-the-middle) на любом веб-сайте”.
Три инструмента для разработчиков, выпущенные Facebook, помогают работать с фреймворком мониторинга CT. Это Web hooks, Graph API, и push-уведомления.
Webhooks позволяют разработчикам регистрировать крючок и определять те домены, которые они хотят отслеживать: “Каждый раз, когда мы обнаруживаем новый сертификат, выданный для этих доменов, мы отправляем запрос на внешнюю конечную точку, указанную разработчиком, с информацией о сертификате”.
Graph API разработан для упрощения запроса сертификатов, возвращающих метаданные сертификатов для всех доменов, соответствующих запросу.
Что касается push-уведомлений, довольно очевидно, что это оповещения и они установлены по умолчанию для инструментов прозрачности сертификата.
Нимчура и Хуан также отметили, что разработчики должны следить за усилением соблюдения логов CT в будущем: Facebook теперь реализует HTTP-проект “Expect-CT header” (Ожидание Сертификата Прозрачнности в Хедере), что означает, что “совместимые веб-браузеры будут стараться, чтобы сертификаты, используемые при доступе к Facebook, были ранее зарегистрированы в общедоступных логах CT”.