Google вводит в Chrome обязательное логирование для SSL-сертификатов

Как сообщает opennet.ru браузер Chrome будет требовать от удостоверяющих центров, чтобы все выданные ими публичные сертификаты, созданные после 30 апреля 2018 года, включались как минимум в два общедоступных журнала Certificate Transparency. Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency, будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.

В настоящее время все удостоверяющие центры, зарегистрированные в CCADB (Common CA Database), получили уведомление о предстоящих изменениях и готовятся к применению Certificate Transparency. Для предприятий, на которых используются собственные внутренние сертификаты, предоставлена опция, позволяющая отключить обязательную проверку в Certificate Transparency через задание централизованных правил, привязанных к учетным записям пользователей.

Certificate Transparency базируется на идее ведения независимого публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе. Владельцам сертификатов и пользователям публичный лог дает возможность проводить независимый аудит всех изменений и действий удостоверяющих центров, что позволит сразу отслеживать любые попытки скрытого создания поддельных записей.

Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура "Дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учетом прошлого состояния).