Ce este Certificate Transparency (CT)?

Sistem public de monitorizare a certificatelor SSL emise

Definiție Certificate Transparency (CT)

Certificate Transparency este un sistem care inregistreaza public toate certificatele SSL emise. Permite proprietarilor de domenii sa detecteze certificate frauduloase emise in numele lor. Browserele moderne (Chrome) cer ca certificatele sa fie inregistrate in logurile CT pentru a fi acceptate.

De ce contează Certificate Transparency (CT)

Certificate Transparency (CT) este un sistem public de loguri care inregistreaza fiecare certificat SSL emis, permitand proprietarilor de domenii sa detecteze certificatele emise fraudulos in numele lor. Inainte de CT, o autoritate de certificare compromisa putea emite certificate false fara sa fie detectata — exact ce s-a intamplat cu DigiNotar in 2011.

Cum verifici Certificate Transparency (CT)

SoftAudit verifica prezenta SCT (Signed Certificate Timestamp) in certificatul SSL, ceea ce confirma inregistrarea in loguri CT. Analizeaza daca SCT-urile sunt incluse in certificat (embedded), trimise prin extensia TLS sau prin OCSP stapling si daca provin de la cel putin doua loguri CT diferite.

Greșeli frecvente

Nefolosirea unui serviciu de monitorizare CT inseamna ca nu vei sti daca cineva obtine un certificat fraudulos pentru domeniul tau pana cand atacul este deja in desfasurare. Monitorizarea doar a domeniului principal fara subdomenii lasa lacune — atacatorii vizeaza frecvent subdomenii precum mail, admin sau vpn.

Bune practici

Inregistreaza-te pe crt.sh sau Facebook CT Monitor pentru a primi alerte la emiterea oricarui certificat pentru domeniul tau si subdomeniile sale. Configureaza CAA (Certificate Authority Authorization) in DNS pentru a restrictiona ce autoritati pot emite certificate pentru domeniul tau, reducand riscul de emitere neautorizata.