Google потребовала вести публичные логи SSL-сертификатов

Компания Google потребовала у удостоверяющих центров вносить все выданные ими публичные сертификаты, созданные после 30 апреля 2018 года, в по меньшей мере два общедоступных журнала Certificate Transparency. Сертификаты, отсутствующие в логах, будут автоматически заблокированы браузером Google Chrome с отображением соответствующей ошибки.

Компания уведомила все удостоверяющие центры, зарегистрированные в CCADB (Common CA Database) о готовящихся изменениях. Предприятиям, использующим собственные внутренние сертификаты, предоставлена возможность отключить обязательную проверку, однако для этого им необходимо будет задать централизованные правила, привязанные к учетным записям пользователей.

Идея журналов Certificate Transparency заключается в ведении публичных логов всех выданных сертификатов, не позволяя таким образом тайно создать поддельный сертификат.

Для защиты уже внесенных данных об изменениях в логах применяется древовидная структура, так называемое «Дерево Меркла», в котором каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному хешированию. Таким образом пользователь может проверить всю историю операций и корректность данных в базе.