Hlavní navigace

Chrome už neuznává nové certifikáty nezveřejněné v Certificate Transparency

Petr Krčmář

Počínaje dnešním dnem už prohlížeč Chrome nebude považovat za důvěryhodné certifikáty, které nebyly zveřejněny v databázích Certificate Transparency (CT). Jedná se o opatření, které donutí všechny veřejné certifikační autority zveřejňovat veškeré vydané certifikáty. Pokud by společně s certifikátem nebylo prohlížeči dodáno i potvrzení o zveřejnění v databázi (SCT), bude certifikát zobrazován jako nedůvěryhodný.

Povinnost se týká jen nově vydaných certifikátů, pokud máte někde nasazený starší platný certifikát, nemusíte dělat nic. Chrome je prvním prohlížečem, který zveřejnění v CT vynucuje, ale Mozilla už také oznámila, že chce ve Firefoxu přijít se stejným krokem. Zatím ale neuvedla konkrétní termín.

Detaily naleznete v článku Certificate Transparency je tu, všechny HTTPS certifikáty musejí být veřejné.

Zveřejňování všech důvěryhodných certifikátů umožňuje automatizovaně hlídat, zda někdo neoprávněně nezískal certifikát na některou z vámi spravovaných domén. Autorita Let's Encrypt do logů vkládá certifikáty od začátku, před měsícem do nich začala přidávat i potvrzení. Databázi certifikátů můžete prohledávat například na webu crt.sh.

Certifikát Let's Encrypt s vloženým SCT ze dvou logů

Našli jste v článku chybu?