Certificate transparency - záznam všech vydaných certifikátů

17. 4. 2018 | Jindřich Zechmeister

Od prvního dubna musí být všechny SSL/TLS certifikáty vydané veřejnými certifikačními autoritami uvedeny v záznamech Certificate Transparency. V tomto článku se podíváme na to, k čemu je tento mechanismus dobrý a jak certifikáty v těchto decentralizovaných záznamech najít.

Veřejné záznamy všech vystavených certifikátů mají především sloužit pro kontrolu vystavených certifikátů a zaručit, že některá ze stovek veřejných certifikačních autorit nepodvádí a nevydává certifikáty bez dostatečného oprávnění. Principy projektu Certificate Transparency najdete na jeho (nepříliš přehledné) domovské stránce.

Certificate Transparency povinně v Chrome

Google s platností od dubna přidal povinnost přítomnosti certifikátu v Certificate Transparency logu. Pokud ho tam prohlížeč Chrome nenajde, tak nebude SSL/TLS certifikát považovat za důvěryhodný. To je i hlavním důvodem, proč je Certificate Transparency závazné i pro certifikační autority. Pro EV certifikáty s rozšířeným ověřením funguje tento princip už od roku 2015.

Kontrola SSL/TLS certifikátů v záznamech

Veřejné záznamy fungují decentralizovaně, jak už bylo zmíněno na začátku. Při kontrole můžete prohledat různé logy a použít k tomu řadu nástrojů. Podíváme se na ty nejefektivnější.

Certificate Transparency Monitoring je nástroj od Facebooku; od této korporace bychom asi nástroj pro SSL/TLS certifikáty nečekali, ale jedná se o nejlepší prohlížeč Certificate Transparency záznamů. Dělá přesně to, co od něj potřebujete - rychle vyhledá záznamy o vydaných certifikátech pro danou doménu. Zobrazí konkrétní certifikát, jeho detaily a hlavně nabízí snadné vytvoření upozornění na vydání certifikátů pro vaši doménu. Nevýhodou nástroje je fakt, že je dostupný až po přihlášení a tak potřebujete Facebook účet.

Certificate Transparency Monitoring Facebooku

Pokročilým, ale méně uživatelsky příjemným nástrojem je server crt.sh. Nabízí pokročilejší funkce jako OCSP check certifikátu, ale samotné provedení je spartánské, zobrazení certifikátu v ASN.1 nepřívětivé a zejména hledání není tak jednoduché jako u nástroje Facebooku.

Certificate Transparency od crt.sh

V seznamu nástrojů pro kontrolu Certificate Transparency nesmí chybět Google, který je vlastně otcem tohoto principu kontroly. Ověřovač je součástí projektu Certificate Transparency a nabízí vyhledání podle názvu hostitele; a to včetně expirovaných certifikátů nebo včetně subdomén domény hlavní. Tento nástroj má ze všech zmiňovaných nejméně možností a zobrazuje pouze informace o certifikátu, jeho vydavateli a CT logu, ve kterém je informace zaznamenána.

Certificate Transparency prohlížeč od Google

Závěr

Z výše uvedeného vyplývá, že Certificate Transparency jako nástroj pro hlídání vydaných certifikátů získává význam pouze s možností upozornění pro vaši doménu; jinak je běžným uživatelům tento nástroj prakticky k ničemu. Upozornění podporuje CT nástroj Facebooku, avšak daň za možnost upozornění je nutnost Facebook účtu.

Z pohledu majitele certifikátu, který nekontroluje ostatní certifikační autority, je Certificate Transparency mechanismus, se kterým se běžně nesetkává. Vystavené certifikáty jsou v logu přidány automaticky, aby byly důvěryhodné v Chrome. Pokud byste jako majitel domény chtěli omezit vystavení certifikátu jinou certifikační autoritou, doporučuji použít CAA záznam v DNS. Je to účinnější mechanismus než následná kontrola, protože certifikační autority jsou povinny ho kontrolovat a respektovat od loňských prázdnin.