Certificate Transparency (CT) Naplók

Utoljára frissítve: 2020. febr. 25. | Dokumentáció megtekinthető

Megjegyzés: Az angol nyelvű változatot a fordítás óta frissítették (2023. szept. 25.) Megtekintés angolul

A Certificate Transparency (CT) a TLS tanúsítványok kiállításának naplózására és felügyeletére szolgáló rendszer. A CT jelentősen javítja mindenki képességét a tanúsítványok kibocsátásának nyomon követésére és tanulmányozására, és ezek a képességek számos javulást eredményeztek a hitelesítésszolgáltatói ökoszisztémában és a webes biztonságban. Ennek eredményeképpen a CT gyorsan kritikus infrastruktúrává válik.

A Let's Encrypt minden általa kiállított tanúsítványt átad a CT naplóknak. Évente megosztott két CT naplót is üzemeltetünk Oak és Testflume néven. Minden nyilvánosan megbízható tanúsító hatóságtól szívesen vesszük, ha beküld a naplóinkba. A CT naplóinkban már számos tanúsító hatóság gyökértanúsítványa szerepel. Lépjen kapcsolatba velünk e-mailben az új gyökértanúsítványok naplóinkhoz való hozzáadásával kapcsolatban, ha az öné még nem szerepel a naplóban.

Iratkozzon fel a közösségi fórum CT bejelentések kategória értesítéseire, hogy értesüljön a CT naplóinkkal kapcsolatos fontosabb bejelentésekről.

Támogatás

Szeretnénk köszönetet mondani a következő partnereknek a Let's Encrypt CT napló nagylelkű támogatásáért. Ha az Ön szervezete segíteni szeretne nekünk e munka folytatásában, kérjük, fontolja meg a szponzorálást vagy adományozást.

Architektúra

Nézze meg a blogunkat, hogy megtudja Hogyan futtatja a Let's Encrypt a CT naplókat!

Naplókövetés

A Let's Encrypt létrehozott egy nyílt forráskódú CT naplókövető eszközt CT Woodpecker néven. Ezt az eszközt saját naplóink stabilitásának és megfelelőségének ellenőrzésére használjuk, és reméljük, hogy mások is hasznosnak találják majd.

CT naplók

Termékek

• Az Oak beépült az Apple és a Google CT programokba.
• A production ACME API környezetünk itt nyújtja be a tanúsítványokat.
• • Név: Oak 2019
    URI: https://oak.ct.letsencrypt.org/2019
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
    Log azonosító: 65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
    Időszak kezdete: 2019-01-01T00:00Z
    Időszak vége: 2020-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2020
    URI: https://oak.ct.letsencrypt.org/2020
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
    Log azonosító: E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
    Időszak kezdete: 2020-01-01T00:00Z
    Időszak vége: 2021-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2021
    URI: https://oak.ct.letsencrypt.org/2021
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
    Log azonosító: 94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
    Időszak kezdete: 2021-01-01T00:00Z
    Időszak vége: 2022-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2022
    URI: https://oak.ct.letsencrypt.org/2022
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
    Log azonosító: DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
    Időszak kezdete: 2022-01-01T00:00Z
    Időszak vége: 2023-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2023
    URI: https://oak.ct.letsencrypt.org/2023
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
    Log azonosító: B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
    Időszak kezdete: 2023-01-01T00:00Z
    Időszak vége: 2024-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2024h1
    URI: https://oak.ct.letsencrypt.org/2024h1
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
    Log azonosító: 3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
    Időszak kezdete: 2023-12-20T00:00Z
    Időszak vége: 2024-07-20T00:00Z
    Státusz: Usable
  • Név: Oak 2024h2
    URI: https://oak.ct.letsencrypt.org/2024h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
    Log azonosító: 3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
    Időszak kezdete: 2024-06-20T00:00Z
    Időszak vége: 2025-01-20T00:00Z
    Státusz: Usable
  • Név: Oak 2025h1
    URI: https://oak.ct.letsencrypt.org/2025h1
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEKeBpU9ejnCaIZeX39EsdF5vDvf8ELTHdLPxikl4y4EiROIQfS4ercpnMHfh8+TxYVFs3ELGr2IP7hPGVPy4vHA==
    Log azonosító: A2:E3:0A:E4:45:EF:BD:AD:9B:7E:38:ED:47:67:77:53:D7:82:5B:84:94:D7:2B:5E:1B:2C:C4:B9:50:A4:47:E7
    Időszak kezdete: 2024-12-20T00:00Z
    Időszak vége: 2025-07-20T00:00Z
    Státusz: Usable
  • Név: Oak 2025h2
    URI: https://oak.ct.letsencrypt.org/2025h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEtXYwB63GyNLkS9L1vqKNnP10+jrW+lldthxg090fY4eG40Xg1RvANWqrJ5GVydc9u8H3cYZp9LNfkAmqrr2NqQ==
    Log azonosító: 0D:E1:F2:30:2B:D3:0D:C1:40:62:12:09:EA:55:2E:FC:47:74:7C:B1:D7:E9:30:EF:0E:42:1E:B4:7E:4E:AA:34
    Időszak kezdete: 2025-06-20T00:00Z
    Időszak vége: 2026-01-20T00:00Z
    Státusz: Usable

Tesztelés

• Az ilyen naplókból származó SCT-ket NEM SZABAD beépíteni a nyilvánosan megbízható tanúsítványokba.
• A Let's Encrypt production és a staging ACME API környezetek egyaránt küldenek tanúsítványokat a Testflume-nak, de a production környezet nem használja a kapott SCT-ket.
• A Trillian és a certificate-transparency-go új verzióit itt teszteljük, mielőtt bevezetnénk őket a production környezetbe.
• A Testflume elfogadott root-ok listája tartalmazza az összes Oak által elfogadott root-ot, valamint további teszt root-okat.
• A Testflume-ot más tanúsító hatóságok is használhatják tesztelési célokra.
• • Név: Sapling 2022h2
    URI: https://sapling.ct.letsencrypt.org/2022h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
    Log azonosító: 23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
    Időszak kezdete: 2022-06-15T00:00Z
    Időszak vége: 2023-01-15T00:00Z
    
  • Név: Sapling 2023h1
    URI: https://sapling.ct.letsencrypt.org/2023h1
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
    Log azonosító: C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
    Időszak kezdete: 2022-12-15T00:00Z
    Időszak vége: 2023-07-15T00:00Z
    
  • Név: Sapling 2023h2
    URI: https://sapling.ct.letsencrypt.org/2023h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbdCykRsTPRgfjKVQvINRLJk3gy+2qNKOU48bo/sWO0ko75S92C+PBDxsqMEd0YpCYYLogCt2LAK/U4H7UwHsjA==
    Log azonosító: ED:AB:9D:1D:DD:83:73:95:9F:F5:2A:88:E4:6B:B4:BC:C3:C4:CC:4D:76:8A:60:CC:FF:4E:36:2D:7F:B8:D6:68
    Időszak kezdete: 2023-06-15T00:00Z
    Időszak vége: 2024-01-15T00:00Z
    
  • Név: Sapling 2024h1
    URI: https://sapling.ct.letsencrypt.org/2024h1
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1Yn4OKJQuwEwo1/BeVBh1NYkQBnS8sYmMfQr/VdXOGqPcbwcpw0TtjJBYmn8FA+ZT7hnt7OfF4RTjLNW3bWOkw==
    Log azonosító: AA:6C:B0:C5:C9:F4:C4:9D:8D:8E:A9:0C:39:17:E0:D7:0A:D9:22:10:BF:05:7F:41:50:93:82:CC:35:0C:98:46
    Időszak kezdete: 2023-12-15T00:00Z
    Időszak vége: 2024-07-15T00:00Z
    
  • Név: Sapling 2024h2
    URI: https://sapling.ct.letsencrypt.org/2024h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWipy8ZdRGs2Y5tBb8h8c4UUREnT/YMbm+FEUQBBScf85txhGRHNN/sNN0L/KDiGu/GsrOBCkDruDfHkD42eZXQ==
    Log azonosító: 85:1B:AE:8E:EE:33:C1:B9:87:3F:C4:9C:7A:7C:27:65:66:3B:6B:80:63:03:04:0A:EC:A6:C1:11:A5:AB:E9:D7
    Időszak kezdete: 2024-06-15T00:00Z
    Időszak vége: 2025-01-15T00:00Z
    

Napló műveletek

Egy adott CT naplóhoz tartozó root-ok felsorolásához a következő parancsot futtathatja az Ön által választott terminálban:

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

A tanúsítványok CT-naplóba történő benyújtását jellemzően a tanúsító hatóságok végzik. Ha ezzel szeretne kísérletezni, kezdje azzal, hogy lekér egy tetszőleges PEM-kódolású tanúsítványt kedvenc weboldalunkról. Másolja ki és illessze be a következő blokkot a terminálba.

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

Mielőtt egy tanúsítványt elküldhetnénk, azt egy speciális struktúrában JSON-kódolással kell ellátni. A feladat elvégzéséhez használhatja a https://crt.sh/gen-add-chain által biztosított JSON-generátort. A crt.sh segédprogram egy JSON csomagot fog visszaadni. Töltse le a csomagot a számítógépére, nevezze át a fájlt, ha szükséges, és adja ki a következő parancsot az add-chain művelet végrehajtásához (RFC 6962 4.1 szakasz), hogy a tanúsítványt elküldje egy CT naplóba. A kimenet tartalmazni fog egy aláírást, amely valójában egy SCT. Az aláírásról hamarosan bővebben.

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

Annak megerősítéséhez, hogy a CT naplót az Oak 2020 shard írta alá, használjuk a fenti parancs id mezőjét, és futtassuk le a következő paranccsal. Az eredmény a CT-napló naplóazonosítója lesz.

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

Az aláírás mező segítségével ellenőrizhetjük, hogy a tanúsítványt elküldték-e egy naplóba. A SCT deep dive guide segítségével tovább dekódolhatja ezt az értéket.

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84