我想使用谷歌证书透明度 API 来检查我的域的恶意 SSL 证书(如果有)。我能够获得所有证书,但我如何检查证书是否合法。
我找到了这个存储库(https://github.com/ProtonMail/ct-monitor),但这只是搜索证书并存储它。除非我们先验证证书,否则存储这些证书有什么用。
任何人都可以建议我如何使用这个谷歌证书透明度 API 来了解恶意 SSL 证书。
问问题
324 次
1 回答
0
如CT 网站所述,证书透明度日志如下:
简单的网络服务,维护加密保证的、可公开审计的、仅附加的证书记录。任何人都可以向日志提交证书,尽管证书颁发机构可能是最重要的提交者。
以这种方式记录证书允许相关方(例如域所有者)监视这些日志中的恶意/错误条目。
但是在 CT 日志中记录的证书并不意味着它不是一个坏证书。正如 CT 网站上所解释的:
证书透明度依赖于现有的缓解机制来解决有害证书和 CA(例如证书吊销),当发现有害证书或 CA 时,缩短的检测时间将加快整体缓解过程。
因此,CT API 不会帮助您确定证书是否是恶意的 - 您需要使用其他方法进行检查,例如检查证书撤销列表 (CRL) 或使用在线证书状态协议 ( OCSP )。请参阅有关如何检查证书的相关问题。有些网站允许检查证书,例如revocationcheck.com。现代浏览器似乎都在使用 CRL 的压缩列表——Mozilla 现在使用 CRLite,而Chrome 使用 CRLSet。
CT API 允许您验证证书是否已记录在 CT 日志中,这意味着域所有者可以监控它们并及时将任何恶意/错误的证书插入相关的 CRL,以便不再使用它们。
于 2020-05-04T21:25:21.843 回答