Come verrà applicata la trasparenza del certificato?

Question

Come verrà applicata la trasparenza del certificato?

#1 da (4 voti)

2

Il team di Chrome ha annunciato che "[they]" Andremo avanti con il [loro] piano per richiedere la trasparenza del certificato per tutti i certificati di nuova emissione pubblicamente attendibili a partire dall'aprile 2018. "

Ora è il luglio 2018. È richiesto il certificato Trasparenza? Cosa è cambiato?

Le due domande principali su cui sto cercando di trovare una risposta:

I certificati delle CA aziendali (o "interne") verranno rifiutati da Chrome?
Ogni certificato osservato dal browser attiverà ora una query sul server CT di Google?

chrome certificates certificate-authority certificate-transparency

posta jornane 21.07.2018 - 20:35

fonte

1 risposta

Leggi altre domande sui tag chrome certificates certificate-authority certificate-transparency

Clonazione di un sistema per l'analisi forense Dove trovare tutti i certificati CA root?

score 4 · Answer 1

Will certificates from corporate (or "internal") CAs be rejected by Chrome?

Questo è già stato risposto nella frase esatta che hai citato: "... richiede la Trasparenza Certificato per tutti i certificati di nuova pubblicazione, pubblicamente affidabili" . . Poiché le CA interne non sono pubblicamente affidabili, per queste non è richiesta alcuna trasparenza del certificato.

Will every certificate observed by the browser now trigger a query to Google's CT server?

Certificato di trasparenza in Chrome descrive il processo di verifica come segue:

Chrome may check that an SCT has been honoured by the CT log that issued it, i.e. that the corresponding certificate is indeed published in that CT log. ... Chrome does this by sending a specially-crafted DNS query that requests an inclusion proof from the log. Using DNS allows the user to remain anonymous from the CT log's perspective and enables caching of inclusion proofs.

Da quanto ho capito controllerà sempre se le informazioni CT richieste sono nel certificato. Ma non penso che questo significhi che controllerà sempre che queste informazioni siano corrette e si riflettano nei registri CT. La mia ipotesi è che controllerà non sempre, ma abbastanza spesso in modo che vengano rilevati certificati con informazioni TC false.