什么是证书透明度？它如何帮助检测假SSL证书

我说的是传统的数字证书管理系统… 这是最薄弱的一环，完全建立在信任的基础上，它已经被打破了好几次。

为了确保个人数据的机密性和完整性，数十亿互联网用户盲目地依赖全球数百个证书颁发机构（CA）。

在本文中，我将解释：

首先，您需要了解证书颁发机构及其角色：

A.证书颁发机构（CA）是一个第三方组织，充当中央受信任机构，旨在颁发和验证数字SSL/TLS证书。

有数百家这样的受信任组织有权为您拥有的任何域颁发有效的SSL证书，尽管您已经从另一个CA购买了一个。

...这是CA系统中最大的漏洞。

SSL信任链断了！

去年，谷歌发现赛门铁克（CAs之一）不正当地为谷歌颁发了一份重复的证书。显然是错误地与他人通信。

这不是第一次滥用或错误地使用CA的权力来颁发伪造的数字证书，从而危及数百万互联网用户的隐私。

2011年3月，流行的证书颁发机构Comodo被黑客攻击，为包括邮件在内的流行域颁发欺诈性证书。谷歌。com，插件。mozilla。org，然后登录。雅虎。通用域名格式。

同年，荷兰证书管理局DigiNotar也遭到了攻击，并发布了大量欺诈性证书。

由于信任链被打破，数百万用户受到中间人攻击。

另请阅读：CT监控工具如何帮助Facebook早期检测假SSL证书

此外，这些文件是由爱德华·斯诺登据透露，NSA（国家安全局）截获并破解了大量HTTPS加密的网络会话，这表明一些所谓的可信CA被广泛怀疑受政府控制或授权。

如果政府要求这些“可信转恶”证书颁发机构为Facebook、Google或Yahoo等安全且受欢迎的网站颁发重复的SSL证书，该怎么办？

这不仅仅是我的猜测；过去，政府机构和国家资助的黑客滥用受信任的CA，为流行域名获取假数字证书，以监视用户，这种情况已经发生。

2.)2013年末，谷歌发现其域名的假数字证书被法国政府机构用来实施中间人攻击。
3.)2014年年中，谷歌发现了另一起事件：印度国家信息中心（NIC）在其一些领域使用未经授权的数字证书。

你仍然盲目信任CA组织吗？

什么是证书透明系统？

• 证书日志
• 证书监视器
• 证书审核员