Команда Chrome планирует сделать требование прозрачности сертификатов (Certificate Transparency) обязательным в 2017 году

Команда разработчиков Google Chrome объявила о своей цели сделать требование прозрачности сертификатов (Certificate Transparency) обязательным для всех сертификатов, выпущенных с октября 2017 года. Если у новых SSL-сертификатов будут неясные или скомпрометированные цепочки доверия (chains of trust), то в таком случае пользователи Google Chrome увидят соответствующее предупреждение.

Как следует из официального анонса, на протяжении ближайших двенадцати месяцев команда Chrome планирует оказывать активную помощь удостоверяющим центрам, чтобы те соответствовали данной политике.

Зачем вообще нужна прозрачность сертификатов (Certificate Transparency)? Она позволяет решить проблему со злоупотреблением SSL-сертификатами, поскольку на обновление информации о выданных SSL-сертификатах обычно уходит несколько недель, а то и месяцев. За это время злоумышленники успевали воспользоваться ситуацией и извлечь для себя определенную выгоду. Так произошло, к примеру, с голландским центром сертификации DigiNotar, который был скомпрометирован в 2011 году и позволял злоумышленникам получить сертификаты для крупнейших сайтов, таких как Microsoft, Google и Facebook.

Прозрачность сертификатов позволяет добавить три новых грани к цепочке доверия:

• логи;
  
• мониторинг;
  
• аудиторы.
  

Логи шифруются с помощью надежных алгоритмов. Из логов нельзя удалить существующую информацию, ее не получится никак скорректировать или видоизменить. Логи являются публично доступными.

Процессы мониторинга необходимы для отслеживания необычного поведения со стороны центров сертификации, корректных прав доступа к логам. Также они проверяют видимость и целостность цепочки доверия. Такие процессы имеются у разных центров сертификации. Центры сопоставляют и сравнивают информацию, полученную от мониторинговых процессов, для оперативного выявления скомпрометированных сертификатов.

Аудиторы – это специальные клиенты или сервисы, которые обычно применяются центрами сертификации. Они позволяют быстро установить статус сертификата и/или его безопасность.

Команда Chrome планирует на следующей встрече Internet Engineering Task Force (IETF) в ноябре предложить отдельный HTTP-заголовок, который позволит сайтам соответствовать новой политике Certificate Transparency в Chrome.