google的证书透明项目已经有一段时间了,google chrome和mozilla firefox都声称加入了这个项目,但是如何测试浏览器是否真的支持证书透明和SCT的三种交付方式呢?
问问题
962 次
1 回答
1
测试浏览器是否正在检查证书透明度的最简单方法之一是尝试已知的不良站点,例如https://invalid-expected-sct.badssl.com。使用此地址,Chrome 69 会说该站点不安全,但不执行证书透明性的 Safari 12.0 会允许它通过。
Chrome 的政策可以在https://github.com/chromium/ct-policy/blob/master/ct_policy.md找到
Apple 正在实施证书透明度,我相信该计划将在 iOS 12.1.1 和 macOS 10.14.2 中推出。他们的政策可以在https://support.apple.com/en-us/HT205280找到
Firefox 63.0.1 似乎也不支持证书透明性,尽管 Firefox 内置了支持,但我相信在解决其他一些问题之前,它目前不会强制执行。
在尝试测试三种交付方法方面,在https://www.ida.liu.se/~nikca89/papers/pam18.html有一个研究项目,其代码可用于为给定的域列表提取 SCT,因此您应该能够使用它来检查所有 3 种方式。为了让它工作,您创建一个文件top-1m.csv,其中每个域的条目位于单独的行上,前缀为忽略的数值,并main在FirstTestCase. 或者,您可以查看Conscrypt项目,尽管这需要更多工作。
于 2018-11-08T14:43:03.137 回答