Utoljára frissítve: | Dokumentáció megtekinthető
Megjegyzés: Az angol nyelvű változatot a fordítás óta frissítették () Megtekintés angolul
A Certificate Transparency (CT) a TLS tanúsítványok kiállításának naplózására és felügyeletére szolgáló rendszer. A CT jelentősen javítja mindenki képességét a tanúsítványok kibocsátásának nyomon követésére és tanulmányozására, és ezek a képességek számos javulást eredményeztek a hitelesítésszolgáltatói ökoszisztémában és a webes biztonságban. Ennek eredményeképpen a CT gyorsan kritikus infrastruktúrává válik.
A Let's Encrypt minden általa kiállított tanúsítványt átad a CT naplóknak. Évente megosztott két CT naplót is üzemeltetünk Oak és Testflume néven. Minden nyilvánosan megbízható tanúsító hatóságtól szívesen vesszük, ha beküld a naplóinkba. A CT naplóinkban már számos tanúsító hatóság gyökértanúsítványa szerepel. Lépjen kapcsolatba velünk e-mailben az új gyökértanúsítványok naplóinkhoz való hozzáadásával kapcsolatban, ha az öné még nem szerepel a naplóban.
Iratkozzon fel a közösségi fórum CT bejelentések kategória értesítéseire, hogy értesüljön a CT naplóinkkal kapcsolatos fontosabb bejelentésekről.
Támogatás
Szeretnénk köszönetet mondani a következő partnereknek a Let's Encrypt CT napló nagylelkű támogatásáért. Ha az Ön szervezete segíteni szeretne nekünk e munka folytatásában, kérjük, fontolja meg a szponzorálást vagy adományozást.
Architektúra
Nézze meg a blogunkat, hogy megtudja Hogyan futtatja a Let's Encrypt a CT naplókat!
Naplókövetés
A Let's Encrypt létrehozott egy nyílt forráskódú CT naplókövető eszközt CT Woodpecker néven. Ezt az eszközt saját naplóink stabilitásának és megfelelőségének ellenőrzésére használjuk, és reméljük, hogy mások is hasznosnak találják majd.
CT naplók
Termékek
- Az Oak beépült az Apple és a Google CT programokba.
- A production ACME API környezetünk itt nyújtja be a tanúsítványokat.
-
-
Név: Oak 2019
URI: https://oak.ct.letsencrypt.org/2019
Publikus kulcs:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
Log azonosító:65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
Időszak kezdete:2019-01-01T00:00Z
Időszak vége:2020-01-07T00:00Z
Státusz: Rejected - Shard Expired -
Név: Oak 2020
URI: https://oak.ct.letsencrypt.org/2020
Publikus kulcs:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
Log azonosító:E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
Időszak kezdete:2020-01-01T00:00Z
Időszak vége:2021-01-07T00:00Z
Státusz: Rejected - Shard Expired -
Név: Oak 2021
URI: https://oak.ct.letsencrypt.org/2021
Publikus kulcs:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
Log azonosító:94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
Időszak kezdete:2021-01-01T00:00Z
Időszak vége:2022-01-07T00:00Z
Státusz: Rejected - Shard Expired -
Név: Oak 2022
URI: https://oak.ct.letsencrypt.org/2022
Publikus kulcs:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
Log azonosító:DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
Időszak kezdete:2022-01-01T00:00Z
Időszak vége:2023-01-07T00:00Z
Státusz: Usable -
Név: Oak 2023
URI: https://oak.ct.letsencrypt.org/2023
Publikus kulcs:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
Log azonosító:B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
Időszak kezdete:2023-01-01T00:00Z
Időszak vége:2024-01-07T00:00Z
Státusz: Usable -
Név: Oak 2024h1
URI: https://oak.ct.letsencrypt.org/2024h1
Publikus kulcs:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
Log azonosító:3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
Időszak kezdete:2023-12-20T00:00Z
Időszak vége:2024-07-20T00:00Z
Státusz: Pending -
Név: Oak 2024h2
URI: https://oak.ct.letsencrypt.org/2024h2
Publikus kulcs:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
Log azonosító:3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
Időszak kezdete:2024-06-20T00:00Z
Időszak vége:2025-01-20T00:00Z
Státusz: Pending
-
Név: Oak 2019
Tesztelés
- Az ilyen naplókból származó SCT-ket NEM SZABAD beépíteni a nyilvánosan megbízható tanúsítványokba.
- A Let's Encrypt production és a staging ACME API környezetek egyaránt küldenek tanúsítványokat a Testflume-nak, de a production környezet nem használja a kapott SCT-ket.
- A Trillian és a certificate-transparency-go új verzióit itt teszteljük, mielőtt bevezetnénk őket a production környezetbe.
- A Testflume elfogadott root-ok listája tartalmazza az összes Oak által elfogadott root-ot, valamint további teszt root-okat.
- A Testflume-ot más tanúsító hatóságok is használhatják tesztelési célokra.
-
-
Név: Sapling 2022h2
URI: https://sapling.ct.letsencrypt.org/2022h2
Publikus kulcs:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
Log azonosító:23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
Időszak kezdete:2022-06-15T00:00Z
Időszak vége:2023-01-15T00:00Z
-
Név: Sapling 2023h1
URI: https://sapling.ct.letsencrypt.org/2023h1
Publikus kulcs:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
Log azonosító:C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
Időszak kezdete:2022-12-15T00:00Z
Időszak vége:2023-07-15T00:00Z
-
Név: Sapling 2022h2
Napló műveletek
Egy adott CT naplóhoz tartozó root-ok felsorolásához a következő parancsot futtathatja az Ön által választott terminálban:
$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial done
A tanúsítványok CT-naplóba történő benyújtását jellemzően a tanúsító hatóságok végzik. Ha ezzel szeretne kísérletezni, kezdje azzal, hogy lekér egy tetszőleges PEM-kódolású tanúsítványt kedvenc weboldalunkról. Másolja ki és illessze be a következő blokkot a terminálba.
$ echo | \ openssl s_client \ -connect "letsencrypt.org":443 \ -servername "letsencrypt.org" \ -verify_hostname "letsencrypt.org" 2>/dev/null | \ sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt
Mielőtt egy tanúsítványt elküldhetnénk, azt egy speciális struktúrában JSON-kódolással kell ellátni. A feladat elvégzéséhez használhatja a https://crt.sh/gen-add-chain által biztosított JSON-generátort. A crt.sh segédprogram egy JSON csomagot fog visszaadni. Töltse le a csomagot a számítógépére, nevezze át a fájlt, ha szükséges, és adja ki a következő parancsot az add-chain művelet végrehajtásához (RFC 6962 4.1 szakasz), hogy a tanúsítványt elküldje egy CT naplóba. A kimenet tartalmazni fog egy aláírást, amely valójában egy SCT. Az aláírásról hamarosan bővebben.
$ curl \ -X POST \ --data @example-json-bundle.json \ -H "Content-Type: application/json" \ -H "User-Agent: lets-encrypt-ct-log-example-1.0" \ https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain {"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}
Annak megerősítéséhez, hogy a CT naplót az Oak 2020 shard írta alá, használjuk a fenti parancs id mezőjét, és futtassuk le a következő paranccsal. Az eredmény a CT-napló naplóazonosítója lesz.
$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]' E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
Az aláírás mező segítségével ellenőrizhetjük, hogy a tanúsítványt elküldték-e egy naplóba. A SCT deep dive guide segítségével tovább dekódolhatja ezt az értéket.
$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]' 04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4 9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54 5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81 2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B 47:5F:80:C5:81:F8:0D:B2:1E:2F:84