Blog Feature Image:
在上一篇博文中,我提到,在接下来的几周内,赛门铁克的所有产品和客户体验都将支持证书透明。
证书透明(CT)可帮助企业监测自己所拥有的域名是否启用了有效的SSL/TLS证书。基于众多客户反馈以及用例调查,当前证书透明度政策的执行力度令人满意。然而,当涉及到仅供内部使用的应用软件时,部分客户更倾向于对证书信息严格保密(尤其是子域名信息)。例如,客户也许同意将信息发布于“support.mycompany.com”上,但或许会拒绝将其导入“top-secret-project.mycompany.com”,这是可以理解的。现行的证书透明规范RFC 6962并未能消除此类隐私顾虑或提供相应用例解决方案。
为制定相应用例解决方案,赛门铁克目前的证书透明日志默认导入所有证书,但客户可以拒绝导入。这并非最优解决方案,因为并不是所有的证书都能顺利导入。然而,目前,在证书透明规范所限制的范围内,这是消除客户隐私顾虑的最有效方法。
目前,互联网工程任务组正着手制定全新证书透明规范——RFC 6962-bis。新规范将允许编辑证书透明日志中的子域名信息。如此一来,客户发布于“top-secret-project.mycompany.com”的证书,将以“?.mycompany.com”证书的形式导入。通过这一方法,企业可顺利导入并监测所有证书,消除隐私顾虑。
赛门铁克认为名称编辑是平衡证书透明与隐私保护的最佳途径。新规范一旦制定完成,我们将立即予以执行。
如需进一步了解我们对证书透明的支持,请点击此处。