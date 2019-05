Petr Krčmář

Certifikační autorita Let's Encrypt představila vlastní log pro Certificate Transparency nazvaný Oak. Sponzorem této aktivity je Sectigo, což je nový název pro firmu známou pod jménem Comodo CA Limited. Let's Encrypt o projektu vlastního logu mluvil už na začátku letošního roku, vnímá prý nedostatek kvalitních a důvěryhodných logů.

Nově vydané certifikáty může do logu Oak vkládat libovolná veřejně důvěryhodná autorita. Jen Let's Encrypt jich denně vydá okolo milionu, takže je potřeba mít dostatečně dimenzovanou infrastrukturu pro ukládání takového množství záznamů.

Oak používá software Trillian vyvinutý původně v Google. Běží v AWS v kontejnerech orchestrovaných pomocí Kubernetes a data jsou ukládána do AWS RDS. Log zatím není zařazen mezi důvěryhodné, v tuto chvíli běží 90denní lhůta, během které je sledován stav logu. Poté by měl být Oak přidán do Chrome a začne být použitelný pro běžný provoz. Pro monitoring logů vytvořil Let's Encrypt vlastní nástroj CT Woodpecker.

Certificate Transparency je standard, který umožňuje autoritám zveřejňovat všechny vydané certifikáty. Prohlížeč Chrome od května loňského roku zveřejnění používaných certifikátů vynucuje, jinak je nepovažuje za důvěryhodné.