Журнал прозорості сертифіката (CT)

Останнє оновлення: 25 лют. 2020 р. | Переглянути всю документацію

Примітка: Англійська версія була оновлена з моменту перекладу (17 черв. 2022 р.) Переглянути англійською

Прозорість сертифікату (CT) є системою для реєстрації і моніторингу видачі сертифікатів TLS. CT значно підвищує здатність кожного контролювати та вивчати видачу сертифікатів, і ці можливості призвели до численних поліпшень екосистеми ЦС та безпеки Інтернету. В результаті СТ стрімко стає критичною інфраструктурою.

Let's Encrypt надсилає всі видані нами сертифікати до журналів CT. Ми також функціонуємо два щорічно розподілені CT журнали з назвою Oak і Testflume. Усі публічно довірені центри сертифікації можуть надсилати наші журнали. Багато кореневих сертифікатів центру сертифікації вже включено до наших журналів CT. Зв'яжіться з нами електронною поштою про додавання нових кореневих сертифікатів до наших журналів, якщо до нас ще не були включені.

Зареєструйтеся на сповіщення в Категорія оголошень CT нашого форуму спільноти, щоб побачити основні повідомлення про наші CT.

Фінансування

Ми хотіли б подякувати нашим партнерам за те, що вони щедро спонсорували журнал Let's Encrypt CT. Якщо ваша організація бажає допомогти нам продовжувати цю роботу, будь ласка, розгляньте спонсорство або пожертвування.

Архітектура

Перевірте наш блог щоб побачити Як Let's Encrypt Runs CT Logs!

Моніторинг журналу

Let's Encrypt створив інструмент моніторингу журналів з відкритим вихідним кодом CТ, що називається CT Woodpecker. Ми використовуємо цей інструмент для моніторингу стабільності та відповідності наших власних журналів, і сподіваємось, що це також буде корисним для інших.

Журнали CT

Виробництво

• Дуб включений до складу Apple і Google CT програми.
• Наше виробниче середовище API ACME подає сертифікати тут.
• • Назва: Oak 2019
    URI: https://oak.ct.letsencrypt.org/2019
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
    Номер: 65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
    Запуск віконця: 2019-01-01T00:00Z
    Кінець віконця: 2020-01-07T00:00Z
    Штат: Rejected - Shard Expired
  • Назва: Oak 2020
    URI: https://oak.ct.letsencrypt.org/2020
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
    Номер: E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
    Запуск віконця: 2020-01-01T00:00Z
    Кінець віконця: 2021-01-07T00:00Z
    Штат: Rejected - Shard Expired
  • Назва: Oak 2021
    URI: https://oak.ct.letsencrypt.org/2021
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
    Номер: 94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
    Запуск віконця: 2021-01-01T00:00Z
    Кінець віконця: 2022-01-07T00:00Z
    Штат: Rejected - Shard Expired
  • Назва: Oak 2022
    URI: https://oak.ct.letsencrypt.org/2022
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
    Номер: DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
    Запуск віконця: 2022-01-01T00:00Z
    Кінець віконця: 2023-01-07T00:00Z
    Штат: Usable
  • Назва: Oak 2023
    URI: https://oak.ct.letsencrypt.org/2023
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
    Номер: B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
    Запуск віконця: 2023-01-01T00:00Z
    Кінець віконця: 2024-01-07T00:00Z
    Штат: Usable
  • Назва: Oak 2024h1
    URI: https://oak.ct.letsencrypt.org/2024h1
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
    Номер: 3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
    Запуск віконця: 2023-12-20T00:00Z
    Кінець віконця: 2024-07-20T00:00Z
    Штат: Pending
  • Назва: Oak 2024h2
    URI: https://oak.ct.letsencrypt.org/2024h2
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
    Номер: 3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
    Запуск віконця: 2024-06-20T00:00Z
    Кінець віконця: 2025-01-20T00:00Z
    Штат: Pending

Тестування

• SCT з цих журналів SHOULD NOT буде включено до загальнодоступних довірених сертифікатів.
• Let's Encrypt production і staging ACME API середовищ передачі сертифікатів Testflume, але середовище виробництва не використовує отримані SCT.
• Ми тестуємо нові версії Trillian і certificate-transparency-go тут перед відправленням їх у виробництво.
• Список прийнятих коренів Testflume містить усі прийняті корені дуба, а також додаткові тестові корені.
• Testflume може бути використаний іншими центрами сертифікації для тестування.
• • Назва: Sapling 2022h2
    URI: https://sapling.ct.letsencrypt.org/2022h2
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
    Номер: 23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
    Запуск віконця: 2022-06-15T00:00Z
    Кінець віконця: 2023-01-15T00:00Z
    
  • Назва: Sapling 2023h1
    URI: https://sapling.ct.letsencrypt.org/2023h1
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
    Номер: C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
    Запуск віконця: 2022-12-15T00:00Z
    Кінець віконця: 2023-07-15T00:00Z
    

Операції журналу

Щоб перелічити включені корені для певного журналу CT, можна виконати таку команду у вибраному вами терміналі:

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

Надсилання сертифікатів до журналу CT зазвичай обробляється центрами сертифікації. Якщо ви хочете поекспериментувати з цим, почніть із отримання довільного закодованого сертифіката PEM з нашого улюбленого веб -сайту. Скопіюйте та вставте наступний блок у свій термінал.

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

Перш ніж подавати сертифікат, він повинен бути закодований JSON у спеціальній структурі. Для виконання цього завдання ви можете використати генератор JSON за наданими https://crt.sh/gen-add-chain. Утиліта crt.sh поверне пакет JSON. Завантажте пакет на ваш комп'ютер, перейменуйте файл, якщо потрібно, і випустіть наступну команду щоб виконати операцію доповнення (RFC 6962 секції 4.) для надсилання сертифікату до журналу CT. Результат буде містити підпис, який насправді є SCT. Детальніше про підпис за мить.

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

Щоб підтвердити, що журнал CT підписано фрагментом Oak 2020, ми використовуємо поле id з наведеної вище команди та запускаємо його за допомогою наведеної нижче команди. Результатом цього буде вихідний ідентифікатор журналу CT.

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

Використовуючи поле підпису, ми можемо перевірити, чи сертифікат подано до журналу. Використовуючи наш SCT глибокий посібник з занурення, ви можете продовжити декодувати це значення.

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84