我在上一篇部落格文章中曾討論在公開憑證登錄的好處和多數客戶的需求之間必須取得平衡,才可避免登錄客戶視為保密的內部網域名稱。
網際網路工程任務小組 (Internet Engineering Task Force) 亦體悟其重要性,已經不斷在改善憑證透明度 (CT) 規範最新版本中對名稱修訂的支援。賽門鐵克將依據此一改善,在近期內為客戶新增「修訂」選項,以在要求憑證時不公開子網域資訊。客戶擁有此功能後,將可享有賽門鐵克監控憑證帶來的完整好處,亦能取得所需的隱私保護。
範例如下:
選項 | URL 範例 |
登錄所有網域資訊 在預設選項中,您所有的完整網域名稱會依照憑證顯示的形式,登錄至憑證透明度記錄伺服器。 | mail.example.com secret.example.com secret.www.example.com |
登錄頂級網域名稱 +1 (eTLD+1) 在此選項中,您的基礎網域名稱將登錄至賽門鐵克託管的憑證透明度記錄伺服器,但基礎網域左側的所有標籤可能都會先經過修訂。 | ?.example.com ?.?.example.com |
加入修訂功能後,我們會將目前的「選擇退出」選項從工具中移除。為什麼要移除「選擇退出」?如同我在上一篇文章提到的,「選擇退出」雖然能解決隱私問題,卻不是最佳方式,因為這會產生出並非所有憑證都能完整登錄的漏洞。若是轉而支援修訂的憑證,我們仍可讓客戶享有監控網域的好處,同時滿足其潛在的隱私需求。簡而言之,賽門鐵克的預設將登錄所有的憑證和所有的憑證資訊。客戶應只在安全性和隱私權政策有需要時才選擇修訂,並注意未修訂憑證的監控方式可能會較為簡化。
Google 的 Chrome 是目前唯一支援憑證透明度的主流瀏覽器,但 Google 尚未宣佈該瀏覽器何時或是否會納入修訂功能。因此,若客戶選擇以修訂子網域資訊的方式登錄憑證,Chrome 可能會針對該憑證發出「不信任」的警告。有鑑於此,客戶如果有基於瀏覽器的內部應用程式,且憑證網域資訊的隱私極其重要,或許可考慮使用其他瀏覽器或我們的私有 CA 選項。
我們能完整支援憑證透明度,而加入修訂功能後,便可登錄所有的公開信任憑證。不過,我們亦相信提供客戶選項非常重要,尤其是涉及客戶資訊的隱私權決策。我們誠心邀請客戶、合作夥伴和大型網際網路生態系統,前往「憑證透明度」政策討論群組,分享該如何權衡其中的利弊。