Certificate Transparencyとは?
Certificate Transparency(CT)とは証明書の透明性を表す言葉です。
あくまでも透明性であって透明ではありませんので、証明書が透けて見えるとかではありません。。
透明性を高め、不正な証明書を少しでも早く発見するための仕組みということです。
具体的には、どのようなことをしているかというと、認証局から発行された証明書の情報をCTのログサーバへ登録して、その登録の際に発行される登録済み証明書のタイムスタンプ(SCT:Signed Certificate Timestamp)を証明書に付与するという仕組みになっています。
これにより、不正に発行された証明書を早期に発見しリスクを軽減することができるわけです。
今のところ、Google Chromeと認証局のDigiCertが対応しているのみですが、今後対応するブラウザや認証局は増えていくかもしれません。
見た目ではどのように違うのか?
現時点で対応しているブラウザはGoogle Chromeのみです。
CT未対応の証明書はGoogleのChromeで「公開監査記録がありません」と表示されます。
ちょっと、不安をあおる表示ですね。
CT対応の証明書をインストールしていると「公開監査が可能です。」という表示に切り替わります。
SCTの提供方法
SCTの提供方法にはいくつかあるようなのですが、(X.509v3 Extension / TSL Extension / OCSP Stapling)DigiCertの証明書をみてみると証明書の拡張領域に以下のOIDが追加されていました。
1.3.6.1.4.1.11129.2.4.2
RFC6962を見るとX.509v3 certificate extension (OID 1.3.6.1.4.1.11129.2.4.2)
とありましたので、間違いないでしょう、これがSCTに関する拡張項目ですね。
んん~、なかなか難しいですね。
とりあえず、CTは証明書の信頼性を高めるための技術である、ということが分かっていれば大丈夫です。
コメント