证书透明是保障SSL证书自身安全的重要技术,能有效并高效地及时发现错误签发或恶意签发的SSL证书,截至到今天,证书透明已经成功为全球101亿多张国际算法SSL证书提供了证书透明公示服务。
但是,谁在为这101亿多张SSL证书提供证书透明服务呢?非专业人士可能对此一无所知,即使是SSL证书用户,他们只知道从哪个CA机构申请了SSL证书,但是至于证书透明可能都没有听说过,但是证书透明对于SSL证书用户来讲又非常重要,用户应该关心是否有CA机构在用户不知情的情况下为其网站域名签发了SSL证书,如果签发了非自己知晓的SSL证书该如何处理。证书透明是一个保护用户合法权益的透明公示机制,有点像公证服务,证书透明服务提供商就是公证处,证明某CA在何时为何域名签发了SSL证书,这是由密码算法来保证不可抵赖的和不可诬陷的。由此可见,证书透明服务提供商是谁,这似乎也是一个需要更加透明的事情。
零信浏览器作为全球首个同时支持国际证书透明和国密证书透明的浏览器,在此次升级之前只是增强显示了国密SSL证书的证书透明信息,并没有展示国际SSL证书的证书透明信息。
零信浏览器此次版本升级的亮点之一是:全球独家创新地在加密锁标识下面增加展示SSL证书的证书透明信息,同时支持展示国际SSL证书和国密SSL证书的证书透明详细信息,使用同一界面展示RSA/ECC/SM2 三种算法SSL证书的证书透明信息,不再特别只展示国密证书透明信息,证书透明UI展示的信息包括证书透明日志签名数据的密码算法,证书内包含了几个证书透明日志签名数据,并列出所有证书透明日志系统的名称和日志系统运营单位名称。
如下左图所示,这张国际SSL证书的证书透明日志服务的密码算法为ECC算法,包括了3个证书透明签名数据(ECC, 3),由谷歌和Cloudflare分别提供证书透明公示服务,其中谷歌有两个证书透明日志系统:Xenon2024和Argon2024,Cloudflare证书透明日志系统是Nimbus2024。如下右图所示,这张国密SSL证书的证书透明日志服务的密码算法为SM2算法,包括了3个证书透明签名数据(SM2, 3),由零信技术和证签技术分别提供证书透明备案服务,其中零信技术有两个证书透明日志系统:SM2CTcn20204和SM2CTcom20204,证签技术证书透明日志系统是SM2CT2024。
也就是说,零信浏览器不仅同时支持识别和验证国际SSL证书和国密SSL证书中的证书透明日志签名数据,不仅同时支持国际算法(ECC/SHA2)和国密算法(SM2/SM3)实现的证书透明,而且把证书透明日志签名数据相关的信息都汇总到一个用户界面上,让用户对所有密码算法的SSL证书的证书透明信息一目了然。
如果国际SSL证书没有内置证书透明日志数据,则零信浏览器同谷歌浏览器一样的提示“不安全”,如下左图所示。而对于国密SSL证书,考虑到国密证书透明标准还在制定过程中,各个CA机构还需要时间升级CA系统支持国密证书透明,如果国密SSL证书中没有内置零信浏览器信任的国密证书透明日志签名数据,则零信浏览器暂时只是提示“证书不透明”,如下右图所示。零信浏览器计划于2024年1月1日开始采用同谷歌浏览器一样的政策显示为“不安全”,希望各个零信浏览器信任的国密根CA机构能尽快完成CA系统升级,尽快签发内嵌零信浏览器信任的国密证书透明日志数据的国密SSL证书。
零信浏览器这个UI创新的意义在于进一步提升证书透明服务的透明度,让证书透明更加透明,不仅让SSL证书用户了解其SSL证书是哪家公司为其提供了证书透明服务,而且能让网站访问者也能了解这个网站部署的SSL证书是由哪家公司供证书透明服务的,类似于了解纸质公证书是哪个公证处出具的,这不仅能提升证书可信度,而且能提升证书透明服务提供商的品牌知名度,让证书透明公益服务也能为公司带来品牌价值,有利于证书透明生态的健康发展。
有诗为证:
证书签发要透明,错误签发即发现。
国际证书都透明,保障百亿证书安。
国密证书应透明,国密加密有保障。
证书透明必支持,唯有零信浏览器。