今天,我們將啟動證書透明度監控(這是我暑期實習時的項目?。?,用以幫助客戶發現惡意的證書。如果您選擇使用CT(證書透明度)監控,我們將在您的某個域名獲得證書時發送電子郵件給您。我們爬取所有的公共日志從而快速找到這些證書。CT監控現已公測,您可以在Cloudflare控制面板的Crypto(加密)選項卡中啟用。

背景

大多數網頁瀏覽器在地址欄中都有一個鎖的圖標。這個圖標實際上是一個按鈕——如果你是一個安全倡導者或“強迫癥”患者,您可能曾經點擊過它!讓我們來看看當你在谷歌Chrome點擊了鎖圖標以后會發生什么:

顯示的結果似乎是個好消息。Cloudflare博客網站提供了一個有效的證書,您的數據是私有的,并且一切都是安全的。但這到底意味著什么呢?

證書

您的瀏覽器正在進行一些幕后工作,來確保您的安全。當您請求訪問一個網站(例如cloudflare.com)時,該網站應該提供一個證明其身份的證書。這個證書就像一個準章:它表明您的連接是安全的。換句話說,證書證明了網頁內容在傳輸給您的過程中沒有被攔截或篡改。更改后的Cloudflare站點會出現問題,尤其是如果它(偽裝后)看起來像實際的Cloudflare站點。證書包含了網站及其所有者的信息,(證明其真實性)從而保護著我們。

我們分發這些證書是因為信譽系統在互聯網上不起作用。如果您想為自己的網站獲得證書,請向證書頒發機構(CA)申請證書,或者注冊Cloudflare,我們將為您完成這件事!CA頒發證書,就像現實生活中的公證人在法律文件上蓋章一樣。他們會確認您的身份,查看一些數據,并使用他們的特殊身份為您授予數字證書。流行的CA包括DigiCert、Let 's Encrypt和Sectigo。這個系統很好地服務了我們,因為它遏制了冒名頂替者,而且還促進了域所有者和他們的訪問者之間的信任。

不幸的是,沒有什么是完美的。

事實證明CA也會出錯。在極少數情況下,它們會變得比較粗心。當這種情況發生時,就會有非法證書被頒發(即使它們看起來像真實的)。如果CA不小心為您的網站頒發了證書,但是您沒有申請證書,那么就說明您遇到問題了。收到證書的人士可能可以:

  1. 從您的訪問者那里竊取登錄憑證。
  2. 通過提供不同的內容來中斷您的日常服務。

這種攻擊確實會發生,因此我們有充分的理由關注證書。更常見的情況是,域的所有者在發現意外的證書時不會去跟蹤證書來源,并且感到恐慌。我們需要一種方法來防止這些情況破壞整個系統。

證書透明度

啊,證書透明度(CT)。CT通過讓所有證書公開且易于審核,解決了我剛才描述的問題。當CA頒發證書時,它們必須向至少兩個“公共日志”提交證書。這意味著,總的來說,日志攜帶著關于互聯網上所有可信證書的重要數據?,F有多家公司提供了CT日志——谷歌也推出了自己的一些。去年,我們發布了Cloudflare的Nimbus日志。

日志非常非常大,通常包含了數億個證書記錄。

日志基礎結構可幫助瀏覽器驗證網站身份。當您在Safari或谷歌Chrome中請求訪問cloudflare.com時,瀏覽器實際上需要Cloudflare的證書被注冊到一個CT日志中。如果日志中沒有這個證書,那么地址欄旁邊就不會顯示鎖圖標。相反,瀏覽器會告訴你,你試圖訪問的網站是不安全的。你會愿意訪問一個有“不安全”標記的網站嗎?應該不會吧。

有一些系統可以審核CT日志并報告非法證書。因此,如果瀏覽器在日志中找到同樣受信任的有效證書,那么一切都是安全的。

我們今天公布的是

Cloudflare一直是CT行業的領導者。除了Nimbus,我們還推出了一個名為Merkle Town的CT控制面板,并說明了我們是如何研發的。今天,我們將發布證書透明度監控的公共測試版。

如果您選擇使用CT監控,我們將在您的某個域名獲得證書時發送電子郵件給您。當你接到警報時,不要驚慌;無論何時,只要發現可能的域名匹配,我們都會發出警告,這是出于謹慎的考慮。有時您可能會注意到可疑的證書??赡苣徽J識發布方,或者子域名不是您提供的(例如slowinternet.cloudflare.com)。警報很快就會被發送給您,因此如果出現問題,您可以聯系CA。

問題來了:如果服務已經審查了公共日志,為什么還需要警報提醒?不是應該能自動發現錯誤嗎?其實不是的,因為審查并不夠詳盡。審核您的證書的最佳人選是您自己。您知道您的網站。您知道您的個人信息。Cloudflare將把相關證書擺在您面前(審查)。

您可以在Cloudflare控制面板上啟用CT監控。只需轉到“加密”選項卡,然后找到“證書透明性監控”選項即可。如果您在CT領域非常的有名,也可以隨時關閉此功能。

如果您使用的是業務或企業計劃,您可以告訴我們應該通知誰。我們接受多達10個電子郵件地址作為提醒收件人,而不是只發送電子郵件給專區所有者(這是我們為免費和專業客戶提供的服務)。我們這樣做是為了避免壓垮龐大的團隊。這些電子郵箱不必與Cloudflare帳戶綁定,可以隨時手動添加或刪除。

實際的工作原理是什么

我們的密碼學和SSL團隊為此付出了巨大的努力;他們在前面提到的一些聰明工具的基礎上創建了這一功能:

  • Merkle Town是CT數據的樞紐。我們處理所有受信任的證書,并在我們的網站上顯示相關統計信息。這意味著,Internet上發布的每個證書都將通過Cloudflare,并且所有數據都是公開的(因此此處不涉及隱私問題)。
  • Cloudflare Nimbus是我們自己的CT日志。它包含了4億多個證書。
注意:并不是僅有Cloudflare,Google和DigiCert這幾家CT日志提供商。

那么流程是這樣的……在某個時候,您(或者冒名頂替者)會為您的網站申請證書。證書頒發機構批準請求并頒發證書。在24小時內,CA會將此證書發送到一組CT日志。這就是我們的切入點:Cloudflare使用一個名為“The Crawler”的內部進程來查看數百萬條證書記錄。Merkle Town調配The Crawler來監視CT日志并檢查新證書。當The Crawler搜尋到新證書后,它將通過Merkle Town獲取整個證書。

當我們在Merkle Town中處理證書時,我們還會根據受監視的域列表對它進行檢查。如果您啟用了CT監控,我們將立即向您發送警報。得益于Merkle Town現有的基礎結構,這才成為可能。并且,The Crawler的搜索速度非???。

我收到了證書警報?,F在該怎么辦?

好問題。大多數情況下,證書警報都是常規事件。證書會到期和定期更新,所以收到這些郵件是完全正常的。如果一切看起來都是正確的(發行商,你的域名等等),那就把那封郵件扔進垃圾箱吧。

在極少數情況下,您可能會收到一封看起來很可疑的電子郵件。我們提供了一篇詳細的支持文章,這將對您有所幫助?;镜膮f議(流程)是這樣的:

  1. 聯系CA(在郵件中標注為“發行商”)。
  2. 解釋為什么您認為證書可疑。
  3. CA應該撤銷證書(如果確實是惡意證書)。

我們還有一支友好的支持團隊,您可以在這里聯系到他們。盡管Cloudflare不在CA之列且無法吊銷證書,但我們的支持團隊對證書管理非常了解,并隨時準備好為您提供幫助。

未來

Cloudflare博客定期就會提到證書透明性。為什么?這是Chrome和Safari所要求的,它們主導著瀏覽器市場,并為互聯網安全樹立了先例。但更重要的是,CT可以幫助我們在惡意證書被用于攻擊之前發現它們。這就是為什么我們還將繼續完善和改進證書檢測的方法。

你還在等什么?快來啟用證書透明性監控吧!