特别对于小型组织而言,构建基础设施和与所有公共CT日志进行交互的搜索工具的成本太高。然而,Facebook发布了一款名为“证书透明度监测开发者工具”(Certificate Transparency Monitoring Developer Tool)的工具,填补了这一空白。该工具之前是Facebook内部使用的工具。
该工具定期检查主要公共CT日志中为用户选定的域而发布的新证书。
“自去年以来,我们内部一直在监测证书透明度日志,并发现这很有用。”Facebook安全工程师David Huang说,“这让我们发现了为域所发布的意料之外的证书。之前,我们对此并不知晓。我们意识到,这可能对其他开发者也有所帮助,因此就将之免费公开了。”
Google证书透明度(CT)运动促进了一系列健康发展,不仅改善了组织监测和审计TLS证书的方式,还减少了恶意证书或错误发布的证书的数量。认证机构需向公开访问的日志提交证书,因此谷歌开发了CT框架。截止明年10月,Chrome浏览器不再信任不合规网站。
证书透明度监测开发者工具
该工具允许用户在CT日志中搜索某个特定的域,并返回为该域及其子域发布的证书。用户还可以订购域源,在新证书发布时接收邮件通知。
Facebook表示,搜索界面简单易用,其基础设施可快速处理大量数据,为所有域提供可靠的返回数据。Facebook一直在推动使用CT日志来检测意外证书;并非所有事件都是恶意的。
“这不一定都是漏洞或攻击,但可能会遇到如下情况:诸如Facebook这样拥有很多域的大型网站,一些域由我们自己或外部主机供应商来运行,我们并不能完全了解证书在域上的部署情况。”Huang说道,“该工具为我们提供了简便的信息。对于不积极检测域证书的个别网站或小网站,他们对这一点可能并不感兴趣。”
证书透明度监测开发者工具下载
https://developers.facebook.com/tools/ct/
Google证书透明度计划
Google CT框架(Google's Certificate Transparency project)的建立是为了用标准的方法检测在互联网上发布的所有公开可信的TLS证书。该框架包括由认证机构或网站所有者提交的TLS证书相关的日志或记录;确保提交的证书都包括在CT日志内的审核服务;以及查询CT日志中新证书数据的监测服务。Facebook表示,自采用证书透明度后,它已监测超过5000万个证书。数据被收集后按照规则集进行验证,任何变化都会触发通知。Huang表示,Facebook的工具也在为数不多的免费服务之列,其中包括通知和用户选项。
“我们周期性地(每小时,甚至每15分钟)获取数十个CT日志,并在CT日志间保持同步。”Huang说,“一旦获取并通过我们的管道处理这些证书,如果检测到任何意外,我们都会产生告警。”
谷歌最近表示,它正在将证书透明度变成一项强制性要求。在10月中旬的CA/浏览器论坛上,谷歌给出的截止日期是2017年10月。不合规的网站不会显示表明网站安全的绿色地址栏。
“提供CT日志的透明程度推动我们向更好的方向发展。”Huang说。“未来,所有公开发布的证书均被要求记录在CT日志中。届时,我们的监测工具将能够覆盖全部类型的公共证书。”
Facebook开放的免费工具还有
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/facebook-free-certificate-transparency-monitoring-tool
如果此文章侵权,请留言,我们进行删除。
0day
文章评论