协同工作以检测恶意或错误颁发的国密SSL证书

国密证书透明,是一个生态系统,使得国密SSL证书的颁发透明和可验证。

sm2ct
证书透明

什么是证书透明?

证书透明(Certificate Transparency)是一个RFC 国际标准(RFC 6962、RFC 9162),意在实时监测CA系统被黑或者CA机构草率签发的不是用户自愿申请的SSL证书,和让浏览器能及时阻止非法证书的使用,以保护https加密安全。

由谷歌发起的证书透明日志系统从2013年开始已经记录了74亿张SSL证书,并以每月至少1亿多张的速度在不断增加中。从谷歌浏览器68版本开始(2018年5月)就已经强制要求全球所有CA签发的每一张SSL证书都必须提交到指定的证书透明日志中才会被浏览器信任,有效地保障了SSL证书的自身安全。

借助证书透明日志,网站主、浏览器、学者和其他感兴趣的人都可以分析和监控日志。他们能够看到哪些 CA 在何时以及为哪些域名颁发了SSL证书。

证书透明日志使用一种特殊的加密机制,即Merkle树,来允许公开审计。具有三个特点:

只能追加。证书只能添加到日志中,不能删除、修改或追溯插入。
加密保证。使用Merkle树哈希签名,防止篡改和不当行为。
公开审计。任何人都可以查询日志并验证其行为是否良好,或者验证 SSL 证书或预签证书是否已合法地附加到日志系统中。

什么是国密证书透明?

目前,由谷歌牵头运行的证书透明日志系统(简称为:国际证书透明)仅记录全球信任的RSA或ECC算法的SSL证书,不支持国密算法SM2 SSL证书,无法用于保障国密SSL证书的安全。

国密证书透明日志系统由零信技术秉承零信任理念牵头研发并运行和维护,参考并依据RFC 6962和RFC9162国际标准,功能同国际证书透明日志系统完全一样,但日志数据数字签名算法采用国密算法SM2实现,为国密SSL证书提供了一个更多一层的安全保护,也为部署国密SSL证书的网站提供一个更多一层的安全保护。

目前,零信浏览器已经预置了3个由零信技术运维的证书透明日志服务,证签技术和零信技术签发的所有国密SSL证书都已经提交到这3个日志服务系统中。

国密证书透明
证书透明

谁可以参与国密证书透明计划?

所有签发国密SSL证书的CA
所有支持国密SSL证书的浏览器
所有有兴趣提供国密证书透明日志服务的机构
所有有意提供国密SSL证书签发统计和监控服务的服务提供商

都可以加入国密证书透明计划,共同为保障国密SSL证书的安全,特别是保障采用国密SSL证书的网站安全贡献一份力量。

零信国密证书透明日志服务简介

这是全球第一个采用国密SM2算法实现的证书透明日志系统,并率先为证签技术和零信技术签发的国密SSL证书提供证书透明日志服务,增强用户对其签发的国密SSL证书的信心和信任。欢迎其他签发国密SSL证书的CA使用零信国密证书透明日志服务系统,为其签发的国密SSL证书提供透明保护。

零信国密证书透明日志服务仅接受国密SM2算法签发的SSL证书,暂时仅限于零信浏览器信任的根证书签发的国密SSL证书。

零信国密证书透明日志服务系统已经部署运行3套:https://log.sm2ct.cn,https://sm2ct.cersign.cn, https://log.sm2ct.com,分别位于京东云广州节点、腾讯云广州节点和中国电信天翼云贵州节点。目前零信浏览器仅要求SSL证书中至少含有一个或两个SCT数据,待有更多的国密证书透明日志系统后视情况增加SCT数据数量要求。

零信国密证书透明日志系统除了为零信浏览器信任的CA机构提供国密SSL证书透明日志服务外,还会自动接受零信浏览器自动收集到的没有提交到零信国密证书透明日志系统的国密SSL证书,供互联网用户公开查询。

了解详情
证书透明

零信浏览器证书透明信息展示

国密SSL证书展示
支持国密证书透明的国密SSL证书展示
支持国际证书透明的国际SSL证书展示
支持国际证书透明的国际SSL证书展示
不支持国密证书透明的国密SSL证书展示
不支持国密证书透明的国密SSL证书展示
(2024年1月1日之前)

感谢国密证书透明生态系统的参与者,
他们贡献自己的时间、专业知识和资源来帮助保障国密SSL证书加密的Web 安全。

ZoTrusCerSign

CEO博客