明年10月Google Chrome將強制要求網站遵循憑證透明化政策

william77

為確保憑證的安全性，Google在2013年推動憑證透明化CT專案，改變憑證核發程序，要求CA須將憑證寫入可公開驗證、無法竄改且僅供附加資料的紀錄中，供瀏覽器承認其效力。從明年10月後發行的網站憑證須遵循Chrome的憑證透明化政策。

Google軟體工程師Ryan Sleevi上周宣布，在明年10月以後發行的網站憑證必須遵循Chrome的憑證透明化政策，才能為該瀏覽器所信賴。
由憑證機構（CA）所發行的憑證可用來識別網站的主機名稱並驗證網站擁有者的身份，使用者通常會信賴由坊間數百個CA所核發的憑證，但有時CA可能會因人為疏失或遭入侵而誤發憑證。
例如荷蘭的憑證機構DigiNotar曾於2011年遭到入侵，造成逾200個假憑證外流，Gmail及Facbook的網址在伊朗被冒用，馬來西亞的DigiCert則曾誤發數十個SSL憑證，可供偽造網站或簽署惡意軟體。瀏覽器業者也會針對不夠嚴謹的CA提出反制，像是Chrome在去年封鎖了來自CNNIC的憑證，Firefox日前也封鎖了來自沃通與StartCom的憑證。
由Google在2013年所發起的憑證透明化（Certificate Transparency，CT）專案改變了憑證的核發程序，要求CA必須將憑證寫入可公開驗證、無法竄改且僅供附加資料的紀錄中，以讓使用者的瀏覽器可承認其效力，在造訪HTTPS網站時，除非該站的憑證已寫入CT紀錄中，否則瀏覽器可能不會顯示安全連線的圖示。
Google表示，此一開放的監控系統將讓網域所有人與CA藉以判斷相關憑證是否被濫用或遭到誤發。CT現已成為網際網路工程任務小組（IETF）實驗性的開放標準與開放源碼框架。
Sleevi說，Chrome團隊相信CT生態體系將會漸次茁壯，到了明年10月就能實現此一要求，若有各種特別的使用案例都可向IETF提出說明。