certificate-transparency - 如何检查 google -transparency 日志以检测我域的恶意 ssl 证书
问题描述
我想使用谷歌证书透明度 API 来检查我的域的恶意 SSL 证书(如果有)。我能够获得所有证书,但我如何检查证书是否合法。
我找到了这个存储库(https://github.com/ProtonMail/ct-monitor),但这只是搜索证书并存储它。除非我们先验证证书,否则存储这些证书有什么用。
任何人都可以建议我如何使用这个谷歌证书透明度 API 来了解恶意 SSL 证书。
解决方案
如CT 网站所述,证书透明度日志如下:
简单的网络服务,维护加密保证的、可公开审计的、仅附加的证书记录。任何人都可以向日志提交证书,尽管证书颁发机构可能是最重要的提交者。
以这种方式记录证书允许相关方(例如域所有者)监视这些日志中的恶意/错误条目。
但是在 CT 日志中记录的证书并不意味着它不是一个坏证书。正如 CT 网站上所解释的:
证书透明度依赖于现有的缓解机制来解决有害证书和 CA(例如证书吊销),当发现有害证书或 CA 时,缩短的检测时间将加快整体缓解过程。
因此,CT API 不会帮助您确定证书是否是恶意的 - 您需要使用其他方法进行检查,例如检查证书撤销列表 (CRL) 或使用在线证书状态协议 ( OCSP )。请参阅有关如何检查证书的相关问题。有些网站允许检查证书,例如revocationcheck.com。现代浏览器似乎都在使用 CRL 的压缩列表——Mozilla 现在使用 CRLite,而Chrome 使用 CRLSet。
CT API 允许您验证证书是否已记录在 CT 日志中,这意味着域所有者可以监控它们并及时将任何恶意/错误的证书插入相关的 CRL,以便不再使用它们。
推荐阅读
- java - AWS - 无法在 RHEL 上安装 Java 1.8
- c++ - 我应该在此代码中进行哪些更改以显示路线上每个节点的点?
- netlogo - PDG中的记忆效应
- python - 如何使用keras评估多类分类的结果?
- django - Django分离应用程序?
- css - Material.io 字体 arrow_right 未显示
- angular - Angular 6 HttpClient GET response not returning the custom headers
- opencart-3 - htaccess 使用 opencart 3 对我的网站造成了全面破坏
- python-3.x - 使用 open() 读取文件时如何修复 EOF 错误
- aws-xray - 有没有办法为 AWS X-Ray 检测 Web/Javascript/ReactJS 客户端?