证书透明度(CT)是一种设计用于修复SSL/TLS证书生态体系中几个结构缺陷的协议。RFC 6962描述到,它提供一个公开的、只具备附加属性的数据结构,它可以记录由证书颁发机构(CA)颁发的证书。
通过记录证书,大众可以查看由给定CA颁发的证书,这使得网站运营商能够检测到何时为他们的域名颁发了证书,允许他们检查未授权的发行。它还允许浏览器和根存储,以及广大社区,检查CA颁发的证书,并确保CA遵守他们所期望的或公开的实践。
在过去的几年中,Chrome逐渐的对越来越多的公开可信证书要求证书透明度。
1.自2015年1月1日
Chrome已经要求所有EV证书都要通过证书透明度来公开。未正确公开的证书将被剥夺其EV状态(绿色状态栏的EV指示),但不会向不遵守规定的网站的访问者显示警告。
2.自2016年6月1日
Chrome要求所有由赛门铁克公司所拥有的根证书颁发的新证书都通过证书透明度公开。未公开的证书,或未以符合RFC 6962的方式公开的证书将以不可信被拒绝。
3.自2018年4月30日
Chrome要求2018年4月30日以后颁发的所有TLS服务器证书都要符合Chromium CT政策。 在此日期之后,当Chrome连接到一个提供不符合Chromium CT政策的公开可信证书的站点时,用户将会看到一个完整的页面警告(如下图所示),表明他们的连接不符合CT的政策。不符合CT政策的https连接上提供的子资源将无法加载,并在Chrome DevTools中显示错误。如果收到错误,这表明您的CA没有采取措施确保您的证书支持CT,您应该联系您的CA销售或支持团队,以确保您能够获得一个有效的替代证书。
颁发带有嵌入SCT的TLS证书的CA应确保它们符合Chromium CT政策,以便能够在Chrome中正常访问。
Chrome 68关于证书有效期与SCT个数的政策如下表所示:
*EV证书的生命周期不应多余27个月。
您可以通过MySSL.com官网下的证书信息查询工具检测您的网站是否符合Chrome CT政策。