SSL güvenliğini geliştirmede her zaman lider olan Google, standartlara uymayan sertifikaları işaretleyecek CA/Tarayıcı Forumunun Temel Gereksinimleri ve Sertifika gereksinimlerinin eklenmesi Şeffaflık.
İçinde CA/Tarayıcı Forumu Genel Tartışma Listesine bir gönderiGoogle, Chrome'daki ve bunun üzerine kurulu ürünlerdeki SSL/TLS sertifikalarının güvenliği için yüksek standartlar uygulama planlarını belirledi.
Değişikliklerin iki ana teması şunlardır:
- olarak bilinen minimum şifreleme gereksinimlerini uygulamak için Kamuya Açık Sertifikaların Verilmesi ve Yönetimine İlişkin Temel GereksinimlerCA/Tarayıcı Forumu tarafından yayınlandığı şekliyle
- Uyumluluk gerektirmeye başlamak için Sertifika Şeffaflığı girişimiYanlışlıkla verilen veya kötü niyetli olarak alınan sertifikaları tespit etmek ve bu tür sertifikaların kullanımını engellemek için açık çerçeve tabanlı bir sistem
Temel Gereksinimler, Genel Anahtar Altyapısında daha güçlü şifrelemeyi kolaylaştırmak için yayınlanmıştır. Sertifika Yetkilileri onlara sözde bağlılık gösterdiler ancak,
Netcraft'ın yakın zamanda gösterdiği gibi, İnternet'te halen, önde gelen CA'lar tarafından verilenler de dahil olmak üzere, Temel Gereksinimleri karşılayamamalarına neden olan ciddi kusurları olan birçok sertifika bulunmaktadır:- RSA genel anahtar uzunluğu minimum 2048 bitten az (süresi 31 Aralık 2013'ten sonra sona eren sertifikalar için)
- CRL (Sertifika İptal Listesi) veya OCSP (Çevrimiçi Sertifika Durum Protokolü) sunucusu için adres eksikliği veya zımbalanmış OCSP yanıtısertifikayı geri alınamaz hale getirir. Aslında OCSP önemli olan ve gerekli olan standarttır; CRL desteği Firefox'tan kaldırılıyor ve Chrome'da hiçbir zaman mevcut değildi.
Örnek olarak, Fransa'da Avon için yakın zamanda yayınlanan bir sertifikaEquifax tarafından yayınlanan OCSP sunucusu belirtilmemiş. Netcraft ayrıca Symantec, Verizon Business, SwissSign ve GoDaddy tarafından verilen uyumlu olmayan sertifikaları da tespit etti. CA'lar, yayınlanmadan önce otomatik bir kontrol olarak temel gereksinimlere uygunluğu test edebilmelidir; bu nedenle, bu tür gecikmeler için pek fazla mazeret yoktur.
Toplam sertifikaların yüzdesi olarak bakıldığında, uyumlu olmayan çok az sayıda sertifika var, ancak sayı hala binlerce. Netcraft'ın anketleri, bu uyumlu olmayan sertifikaların neredeyse tamamının GoDaddy ve Comodo tarafından verildiğini gösteriyor.
Google ayrıca, henüz belirlenmeyen bir tarihten sonra tüm Genişletilmiş Doğrulama (EV) sertifikalarının Sertifika Şeffaflığını desteklemesini zorunlu kılmaya başlayacak. Sonunda gereksinim tüm sertifikaları kapsayacak şekilde genişletilecektir.
CT, PKI'ya 3 bileşen ekler:
- Sertifika günlükleri
- Sertifika monitörleri
- Sertifika denetçileri
Bu sistemlerin etkisi, sahte sertifikaların daha hızlı tespit edilmesi ve bunların daha etkili şekilde engellenmesi olacaktır.