在我最新一篇部落格文章中,我告訴大家賽門鐵克 (Symantec) 在未來幾週內將會把對憑證透明度的支援完整部署到所有產品及面向客戶的使用經驗上。
憑證透明度 (CT) 可協助組織監控他們名下的網域有哪些使用中的 SSL/TLS 憑證,對於許多客戶和使用案例而言,目前實施的 CT 運作良好。但是一說到部署僅限內部使用的憑證時,有些客戶傾向將憑證資訊保密 (尤其是子網域資訊)。例如,某位客戶可能認為公開「support.mycompany.com」的憑證資訊沒什麼大礙,但同樣這位客戶也可能拒絕登錄「top-secret-project.mycompany.com」,這是情有可原的。目前的憑證透明度規範 RFC 6962尚無法解決這些在隱私和使用案例上的隱憂。
為了解決這類客戶實際遭遇到的案例問題,賽門鐵克目前 CT 的實施方式在預設下會登錄所有憑證,但同時也為客戶提供一個可以「選擇性移除」憑證登錄的選項。這明顯並非最佳方式,因為如此會產生出並非所有憑證皆完整登錄的漏洞,但此為在目前憑證透明度規範的限制下所能處理客戶隱私問題的最有效方式。
目前網際網路工程任務小組 (Internet Engineering Task Force) 正在建立憑證透明度規範的新版本 - RFC 6962-bis。此新版本可在登錄 CT 時修訂子網域資訊。以上述的案例來看的話,該位客戶就能將「top-secret-project.mycompany.com」的憑證登錄為「?.mycompany.com」。這個方法可讓公司既能解決隱私問題,同時也能確保所有憑證都有登錄並受到監控。
賽門鐵克同樣認為名稱修訂是在透明度和隱私之間取得平衡的最佳辦法,因此在新規範完成後,賽門鐵克會盡快實行。
請至此處深入瞭解賽門鐵克對憑證透明度的支援。