问题标签 [certificate-transparency]

我想获取一个域名的所有 fqdn 使用的 ssl 证书列表。所以，我们可以想象我搜索google.com证书。我将获得google.com和www.google.com证书，但我还想获得checkout.google.com证书和其他证书。

为此，我可以使用使用证书透明度的此页面：https: //www.google.com/transparencyreport/https/ct/#domain=google.com&incl_exp=false&incl_sub=true

此页面提供 github 存储库：https ://github.com/google/certificate-transparency

我克隆了它并安装了所有使用 Python 仪表板的东西。但我不知道如何查询数据库以查找所有google.com证书？

没有可用的公共 API，没有填充数据库......

您知道使用证书透明度获取域名的所有 FQDN 的方法吗？

有谁知道谷歌推广的证书透明度功能是否可以/将适用于私人安装的 CA？

似乎 Chrome 已经在某些情况下强制执行 CT，大概是通过审核公共 CA 日志。对于做合法中间人的私有 CA，显然不会有公共 CA 审计信息，很高兴知道 Chrome 不会对此犹豫不决。

默认情况下，iOS 不会对 HTTPS 连接强制执行证书透明度。

从 iOS 10 开始，Apple 引入了新的 ATS 配置密钥 NSRequiresCertificateTransparency。默认情况下这是 NO，如果开发人员想要启用 CT 检查，他可以将其设置为 YES。但是，此密钥存在于“NSExceptionDomains”级别，并且仅适用于列为异常域的特定域。

有没有一种方法可以让操作系统对所有域强制执行 CT 检查，而无需手动将每个域列为异常域（从而忘记其中的一些域）？

用于搜索证书日志的 Python 库的文档很少。如何使用它来搜索日志并检索可理解的内容？

我能找到的最接近的方法就是运行dashboard.py或simple_scan.py，但是 simple_scan.py 会抛出这个错误：

这是没有意义的，因为 FLAGS 是 gflags 的一部分，并且 gflags 是在脚本中导入的。

dashboard.py 抛出此错误：

ct/config/logs.config肯定存在。我认为这是一个 PYTHONPATH 问题，但是ct的父目录python位于 PYTHONPATH 中。

理想情况下，我无论如何都不会将此库用作脚本，而是用作库。我想我基本上可以从脚本中剪切和粘贴我需要的东西，但是由于脚本根本不起作用，我不清楚脚本需要什么才能运行！

我完全看不到如何处理这件事的指导。再举一个例子，我觉得我可以使用类似async_client的东西，但是除了获取某物并以某种方式作为服务器运行之外，它到底在做什么还不清楚。

有任何想法吗？我该如何解决这个问题？

我正在为Expect-CT违规编写 Express 路线，但我不知道如何创建模拟违规来触发report-uri指令。

有没有办法在浏览器内或通过 cURL / Postman 触发这个？

我的想法是在 Postman 中重新创建报告的 JSON 正文，但肯定有一种方法可以创建更真实的测试用例吗？

使用 OpenSSL 时，我没有收到任何 SCT。设置 SSL 连接后，我打电话

无论我连接到哪个域，它总是打印出我获得了 0 个 SCT。问题是，连接设置正确，因为我可以获取我连接到的任何域的 X509 证书，并且我可以发送 OCSP 请求并获得对这些请求的响应。但是当我尝试获取应该发送的 SCT 时，我的代码总是告诉我没有 SCT。

我有一种强烈的感觉，就是我的代码不起作用，因为即使我连接到 google 的网站之一，例如 google.com 或 gmail.com，我也无法从连接中获取任何 SCT，尽管事实上，谷歌开创了证书透明度。

google的证书透明项目已经有一段时间了，google chrome和mozilla firefox都声称加入了这个项目，但是如何测试浏览器是否真的支持证书透明和SCT的三种交付方式呢？

由于 Chrome 68证书透明度已强制执行。这是我们公司代理的 SSL 解密的一个大问题。

代理的证书被添加到系统的证书存储中，这在 Chrome 68 之前就像一个魅力。有一个名为CertificateTransparencyEnforcementDisabledForLegacyCas的策略，可以添加这样的证书并禁用它的强制执行。不幸的是，我不知道如何生成提到的哈希：

通过连接散列算法名称、“/”字符和应用于指定证书的 DER 编码的 subjectPublicKeyInfo 的散列算法的 Base64 编码来指定 subjectPublicKeyInfo 散列。此 Base64 编码与 RFC 7469 第 2.4 节中定义的 SPKI 指纹格式相同。无法识别的哈希算法将被忽略。目前唯一支持的哈希算法是“sha256”。

谷歌搜索没有帮助，如果有同样问题的人可以帮助我，我会很高兴。

非常感谢！

斯文

我似乎无法将第 3 方 XHR 请求的推荐人发送到具有自签名证书的开发服务器。

在遵守 chrome 使用 SAN 而不是 CN 并注册我的自签名 localhost 证书后，我在 Dev Tools 安全面板中获得了此请求的绿点，但我也得到以下信息：

This request does not comply with Chrome's Certificate Transparency policy.

我尝试使用Chrome 组策略禁用它，但它不起作用。

还有其他人偶然发现了这个问题吗？任何用于调试第 3 方 XHR 请求的知名解决方案？

我想使用谷歌证书透明度 API 来检查我的域的恶意 SSL 证书（如果有）。我能够获得所有证书，但我如何检查证书是否合法。

我找到了这个存储库（https://github.com/ProtonMail/ct-monitor），但这只是搜索证书并存储它。除非我们先验证证书，否则存储这些证书有什么用。

任何人都可以建议我如何使用这个谷歌证书透明度 API 来了解恶意 SSL 证书。