证书透明度(CT)日志

最后更新: | 所有文档

证书透明度(CT)日志是用于记录和监视 TLS 证书颁发的系统。CT 极大地增强了人们监控和研究证书颁发的能力,这些功能使 CA 生态系统和 Web 安全性得到了大量改进。因此,CT 正迅速成为关键基础设施。

Let's Encrypt 将我们发出的所有证书提交给 CT 日志。我们还运营着两个年度分片(annually sharded)的CT日志,分别名为 Oak 和Testflume。欢迎所有被公共信任的证书颁发机构提交证书至我们的日志。 我们的CT日志中已包含许多证书颁发机构的根证书。 若您的根证书没有包含在我们的日志中,请通过电子邮件联系我们以将新的根证书添加到我们的日志中。

在我们的社区论坛的CT公告类别中开启通知提醒,以查看有关CT日志的主要公告。

资金来源

我们要感谢以下合作伙伴慷慨赞助 Let's Encrypt 的 CT 日志。如果您的组织希望帮助我们继续这项工作,请考虑捐赠或成为赞助商

Sectigo

架构

详见"Let's Encrypt如何运行CT日志"

日志监控

Let's Encrypt 开发了一个名为 CT Woodpecker 的开源 CT 日志监控工具。我们使用此工具来监控我们自己的日志的稳定性和合规性,我们希望其他人也会发现它的实用性。

CT 日志服务器

生产环境日志

测试环境日志


日志操作

要枚举特定CT日志服务器包含的根证书,您可以在所选终端中运行以下命令:

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

证书颁发机构通常负责将证书提交至CT日志服务器。 如果您想尝试提交证书至CT日志服务器, 请先从我们喜欢的网站获取PEM格式的证书。 请复制以下代码块并粘贴到您的终端内。

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

在提交证书前,必须按特殊结构对该证书进行JSON编码。 您可以使用https://crt.sh/gen-add-chain提供的JSON生成器来执行此任务。 crt.sh将返回一个JSON捆绑包。 请将该JSON包下载到您的计算机内,您也可以按需求重命名该文件, 之后使用以下命令来添加证书链(RFC 6962 第4章第1小节)以便将证书提交至CT日志。 该步骤会输出一个实际是SCT的签名。 看下文以获取更多关于签名的信息。

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

为了确认CT日志是由Oak 2020碎片签名的,我们使用上面命令中的id字段,并通过以下命令运行它。 结果将输出CT日志的日志ID。

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

我们可以使用签名字段验证证书是否已提交到日志服务器。 您可以使用我们的SCT详解以进一步解码该字段

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84