在我之前的博文中,我提到过,在公开导入证书的好处和许多客户对于防止导入内部隐私域名的需求之间,我们需要找到一个平衡点。
互联网工程任务组(IETF)也认识到了这方面的重要性,并已在证书透明(CT)规范的最新版本中为支持名称编辑取得了切实进展。基于此进展,赛门铁克将很快为客户添加“编辑”选项,以便在请求证书时免除发布子域信息。该功能可让客户充分享受监测赛门铁克所发布证书的各项好处,并且可以获得所需的隐私保护。
示例如下:
选项 | URL示例 |
导入所有域信息 在默认选项中,当您的完全合格域名出现在证书上时,它们将全部被导入证书透明导入服务器。 | mail.example.com secret.example.com secret.www.example.com |
导入最高级域名+1 (eTLD+1) 在该选项中,您的基础域名将被导入由赛门铁克托管的证书透明导入服务器,但可能会对基础域左边的所有标签进行编辑。 | ?.example.com ?.?.example.com |
通过引入编辑功能,我们将从工具中移除目前的“退出”选项。为什么要移除“退出”选项?正如我在之前文章中所提到的,“退出”虽然可以解决隐私问题,但却不是一个最佳方案,因为它会产生一个无法导入所有证书的缺口。通过为证书提供编辑功能,我们仍然可以让客户享受监测其域的各种好处,同时满足他们在隐私方面的潜在需求。简而言之,赛门铁克会默认导入所有证书及其信息。只有在客户的安全和隐私政策要求进行编辑时,才应选择使用编辑功能,并且客户应了解使用未编辑证书可简化监测。
谷歌的浏览器是目前唯一支持证书透明的主要浏览器,但是谷歌还没有宣布Chrome何时以及是否会支持编辑功能。所以当客户选择使用已编辑子域信息导入其证书时,Chrome就可能在遇到这些证书时显示“不可信”警告。因此,如果客户拥有基于浏览器的内部应用,并且证书域名信息的隐私非常重要时,可考虑更换浏览器或者使用我们的某个私人证书颁发机构选项。
我们完全支持证书透明,并且通过添加编辑功能,我们将100%导入公开信任的证书。但我们也相信,向客户提供选择是很重要的,特别是当涉及隐私信息的决策时。关于如何实现这种平衡,我们欢迎客户、合作伙伴以及更广泛的互联网生态系统在证书透明政策讨论小组各抒己见。