Certifikat Gennemsigtighed (CT) Logs

Seneste opdatering: 25. feb. 2020 | Se al dokumentation

Bemærk: Den engelske version er blevet opdateret siden oversættelsen (17. jun. 2022) Se på engelsk

Certificate Transparency (CT) er et system til logning og overvågning af udstedelsen af TLS-certifikater. CT forbedrer i høj grad alles evne til at overvåge og studere udstedelse af certifikater, og disse evner har ført til talrige forbedringer af CA-økosystemet og websikkerhed. Som følge heraf er CT hurtigt ved at blive kritisk infrastruktur.

Let's Encrypt indsender alle certifikater, vi udsteder til CT-logs. Vi driver også to årligt splittede CT-logfiler med navnet Oak og Testflume. Alle offentligt betroede certifikatmyndigheder er velkomne til at indsende til vores logfiler. Mange rod-certifikater fra certifikatmyndigheder er allerede inkluderet i vores CT-logs. Kontakt os via e-mail for at få tilføjet nye rodcertifikater til vores logs, hvis din ikke er medtaget.

Tilmeld dig for meddelelser i kategorien CT annonceringer i vores community forum for at se større meddelelser om vores CT-logs.

Finansiering

Vi vil gerne takke følgende partnere for generøst at sponsorere Let's Encrypt CT log. Hvis din organisation gerne vil hjælpe os med at fortsætte dette arbejde, så overvej venligst sponsorering eller donering.

Arkitektur

Tjek vores blog for at se Hvordan Let's Encrypt driver CT Logs!

Log Overvågning

Let's Encrypt har oprettet et open source CT-logovervågningsværktøj kaldet CT Woodpecker. Vi anvender dette værktøj til at overvåge stabiliteten og overholdelsen af vores egne logs, og vi håber, at andre også vil finde det nyttigt.

CT Logs

Produktion

• Oak er indarbejdet i Apple og Google CT-programmerne.
• Vores produktions ACME API miljø indsender certifikater her.
• • Navn: Oak 2019
    URI: https://oak.ct.letsencrypt.org/2019
    Offentlig nøgle: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
    Log ID: 65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
    Visningsvindue Start: 2019-01-01T00:00Z
    Visningsvindue Slut: 2020-01-07T00:00Z
    Tilstand: Rejected - Shard Expired
  • Navn: Oak 2020
    URI: https://oak.ct.letsencrypt.org/2020
    Offentlig nøgle: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
    Log ID: E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
    Visningsvindue Start: 2020-01-01T00:00Z
    Visningsvindue Slut: 2021-01-07T00:00Z
    Tilstand: Rejected - Shard Expired
  • Navn: Oak 2021
    URI: https://oak.ct.letsencrypt.org/2021
    Offentlig nøgle: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
    Log ID: 94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
    Visningsvindue Start: 2021-01-01T00:00Z
    Visningsvindue Slut: 2022-01-07T00:00Z
    Tilstand: Rejected - Shard Expired
  • Navn: Oak 2022
    URI: https://oak.ct.letsencrypt.org/2022
    Offentlig nøgle: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
    Log ID: DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
    Visningsvindue Start: 2022-01-01T00:00Z
    Visningsvindue Slut: 2023-01-07T00:00Z
    Tilstand: Usable
  • Navn: Oak 2023
    URI: https://oak.ct.letsencrypt.org/2023
    Offentlig nøgle: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
    Log ID: B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
    Visningsvindue Start: 2023-01-01T00:00Z
    Visningsvindue Slut: 2024-01-07T00:00Z
    Tilstand: Usable
  • Navn: Oak 2024h1
    URI: https://oak.ct.letsencrypt.org/2024h1
    Offentlig nøgle: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
    Log ID: 3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
    Visningsvindue Start: 2023-12-20T00:00Z
    Visningsvindue Slut: 2024-07-20T00:00Z
    Tilstand: Pending
  • Navn: Oak 2024h2
    URI: https://oak.ct.letsencrypt.org/2024h2
    Offentlig nøgle: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
    Log ID: 3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
    Visningsvindue Start: 2024-06-20T00:00Z
    Visningsvindue Slut: 2025-01-20T00:00Z
    Tilstand: Pending

Test

• SCT'er fra disse logs MÅ IKKE indgå i offentligt betroede certifikater.
• Let's Encrypt produktion og staging ACME API miljøer indsender begge certifikater til Testflume, men produktionsmiljøet anvender ikke de resulterende SCT'er.
• Vi tester nye versioner af Trillian og certifikat-gennemsigtighed-go her, før vi anvender dem til produktion.
• Testflumes liste over godkendte rod-certifikater omfatter alle de accepterede rod-certifikater i Oak samt yderligere test rod-certifikater.
• Testflume kan anvendes af andre certifikatmyndigheder til testformål.
• • Navn: Sapling 2022h2
    URI: https://sapling.ct.letsencrypt.org/2022h2
    Offentlig nøgle: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
    Log ID: 23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
    Visningsvindue Start: 2022-06-15T00:00Z
    Visningsvindue Slut: 2023-01-15T00:00Z
    
  • Navn: Sapling 2023h1
    URI: https://sapling.ct.letsencrypt.org/2023h1
    Offentlig nøgle: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
    Log ID: C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
    Visningsvindue Start: 2022-12-15T00:00Z
    Visningsvindue Slut: 2023-07-15T00:00Z
    

Log Handlinger

For at opliste de medfølgende rødder for en bestemt CT-log, kan du køre følgende kommando i en terminal efter eget valg:

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

Indsendelse af certifikater til en CT-log håndteres typisk af certifikatmyndigheder. Hvis du gerne vil eksperimentere med dette, så begynd med at hente et vilkårligt PEM-kodet certifikat fra vores foretrukne hjemmeside. Kopier og indsæt følgende blok i din terminal.

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

Før et certifikat kan indsendes, skal det være JSON kodet i en speciel struktur. Du kan bruge JSON generatoren fra https://crt.sh/gen-add-chain til at udføre denne opgave. Crt.sh værktøjet vil returnere en JSON bundle. Download pakken til din computer, omdøb filen, hvis du skal og udstede følgende kommando til udførelse af add-chain operation (RFC 6962 afsnit 4.) at indsende certifikatet til en CT-log. Outputtet vil indeholde en signatur, som faktisk er en SCT. Mere om underskriften om et øjeblik.

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

For at bekræfte, at CT-loggen blev underskrevet af Oak 2020-loggen — vi bruger id feltet fra kommandoen ovenfor og køre det gennem følgende kommando. Resultatet af dette vil udsende log-ID'et for CT-loggen.

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

Ved brug af signaturfeltet, kan vi verificere at certifikatet blev indsendt til en log. Ved hjælp af vores SCT detaljerede vejledningkan du afkode denne værdi yderligere.

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84