Журнал прозорості сертифіката (CT)

Останнє оновлення: 17 черв. 2022 р. | Переглянути всю документацію

Примітка: Англійська версія була оновлена з моменту перекладу (25 вер. 2023 р.) Переглянути англійською

Прозорість сертифікатів (CT) це система для реєстрації та моніторингу видачі сертифікатів TLS. CT значно підвищує здатність кожного контролювати та вивчати видачу сертифікатів, і ці можливості призвели до численних поліпшень екосистеми ЦС та безпеки Інтернету. В результаті СТ стрімко стає критичною інфраструктурою.

Let's Encrypt надсилає всі видані нами сертифікати до журналів CT. Ми також видаємо два щорічно розподілені журнали прозорості сертифіката з назвою Oak і Sapling. Усі публічні довірені центри сертифікації можуть реєструватися в наших журналах. Багато кореневих сертифікатів довірених центрів вже включено до наших журналів СТ. Якщо ви керуєте центром сертифікації, а вашого видавця немає у списку прийнятих видавців, будь ласка, повідомте про проблему тут.

Підпишіться на сповіщення в категорії оголошень CT на форумі нашої спільноти, щоб побачити основні оголошення про наші журнали CT.

Фінансування

Ми хотіли б подякувати наступним партнерам за щедру спонсорську підтримку журналу Let's Encrypt CT log. Якщо ваша організація бажає допомогти нам продовжувати цю роботу, ви можете розглянути такі варіанти, як спонсорство або пожертвування.

Архітектура

Завітайте до нашого блогу, щоб побачити Як Let's Encrypt Керує CT Logs!

Моніторинг журналу

Let's Encrypt створив інструмент моніторингу журналів CT з відкритим вихідним кодом під назвою CT Woodpecker. Ми використовуємо цей інструмент для моніторингу стабільності та узгодженості власних журналів, і сподіваємось, що іншим він також стане в пригоді.

Журнали CT

Інформацію про різні стани життєвого циклу, через які проходить журнал CТ, можна знайти тут.

Виробництво

• Oak включено до складу CT програм Apple і Google.
• Наше виробниче середовище API ACME подає сертифікати тут.
• • Назва: Oak 2019
    URI: https://oak.ct.letsencrypt.org/2019
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
    Номер: 65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
    Запуск віконця: 2019-01-01T00:00Z
    Кінець віконця: 2020-01-07T00:00Z
    Штат: Rejected - Shard Expired
  • Назва: Oak 2020
    URI: https://oak.ct.letsencrypt.org/2020
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
    Номер: E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
    Запуск віконця: 2020-01-01T00:00Z
    Кінець віконця: 2021-01-07T00:00Z
    Штат: Rejected - Shard Expired
  • Назва: Oak 2021
    URI: https://oak.ct.letsencrypt.org/2021
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
    Номер: 94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
    Запуск віконця: 2021-01-01T00:00Z
    Кінець віконця: 2022-01-07T00:00Z
    Штат: Rejected - Shard Expired
  • Назва: Oak 2022
    URI: https://oak.ct.letsencrypt.org/2022
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
    Номер: DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
    Запуск віконця: 2022-01-01T00:00Z
    Кінець віконця: 2023-01-07T00:00Z
    Штат: Rejected - Shard Expired
  • Назва: Oak 2023
    URI: https://oak.ct.letsencrypt.org/2023
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
    Номер: B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
    Запуск віконця: 2023-01-01T00:00Z
    Кінець віконця: 2024-01-07T00:00Z
    Штат: Rejected - Shard Expired
  • Назва: Oak 2024h1
    URI: https://oak.ct.letsencrypt.org/2024h1
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
    Номер: 3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
    Запуск віконця: 2023-12-20T00:00Z
    Кінець віконця: 2024-07-20T00:00Z
    Штат: Usable
  • Назва: Oak 2024h2
    URI: https://oak.ct.letsencrypt.org/2024h2
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
    Номер: 3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
    Запуск віконця: 2024-06-20T00:00Z
    Кінець віконця: 2025-01-20T00:00Z
    Штат: Usable
  • Назва: Oak 2025h1
    URI: https://oak.ct.letsencrypt.org/2025h1
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEKeBpU9ejnCaIZeX39EsdF5vDvf8ELTHdLPxikl4y4EiROIQfS4ercpnMHfh8+TxYVFs3ELGr2IP7hPGVPy4vHA==
    Номер: A2:E3:0A:E4:45:EF:BD:AD:9B:7E:38:ED:47:67:77:53:D7:82:5B:84:94:D7:2B:5E:1B:2C:C4:B9:50:A4:47:E7
    Запуск віконця: 2024-12-20T00:00Z
    Кінець віконця: 2025-07-20T00:00Z
    Штат: Usable
  • Назва: Oak 2025h2
    URI: https://oak.ct.letsencrypt.org/2025h2
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEtXYwB63GyNLkS9L1vqKNnP10+jrW+lldthxg090fY4eG40Xg1RvANWqrJ5GVydc9u8H3cYZp9LNfkAmqrr2NqQ==
    Номер: 0D:E1:F2:30:2B:D3:0D:C1:40:62:12:09:EA:55:2E:FC:47:74:7C:B1:D7:E9:30:EF:0E:42:1E:B4:7E:4E:AA:34
    Запуск віконця: 2025-06-20T00:00Z
    Кінець віконця: 2026-01-20T00:00Z
    Штат: Usable

Тестування

• SCT з цих журналів НЕ ПОВИННІ бути включені до загальнодоступних довірених сертифікатів.
• Виробниче середовище Let's Encrypt і проміжне середовище ACME API обидва подають сертифікати до Sapling, але виробниче середовище не використовує результати SCT.
• Ми тестуємо нові версії Trillian і certificate-transparency-go тут, перш ніж запустити їх у виробництво.
• Список прийнятих коренів Sapling містить усі прийняті корені Oak, а також додаткові тестові корені.
• Sapling може бути використаний іншими центрами сертифікації для тестування.
• • Назва: Sapling 2022h2
    URI: https://sapling.ct.letsencrypt.org/2022h2
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
    Номер: 23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
    Запуск віконця: 2022-06-15T00:00Z
    Кінець віконця: 2023-01-15T00:00Z
    
  • Назва: Sapling 2023h1
    URI: https://sapling.ct.letsencrypt.org/2023h1
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
    Номер: C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
    Запуск віконця: 2022-12-15T00:00Z
    Кінець віконця: 2023-07-15T00:00Z
    
  • Назва: Sapling 2023h2
    URI: https://sapling.ct.letsencrypt.org/2023h2
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbdCykRsTPRgfjKVQvINRLJk3gy+2qNKOU48bo/sWO0ko75S92C+PBDxsqMEd0YpCYYLogCt2LAK/U4H7UwHsjA==
    Номер: ED:AB:9D:1D:DD:83:73:95:9F:F5:2A:88:E4:6B:B4:BC:C3:C4:CC:4D:76:8A:60:CC:FF:4E:36:2D:7F:B8:D6:68
    Запуск віконця: 2023-06-15T00:00Z
    Кінець віконця: 2024-01-15T00:00Z
    
  • Назва: Sapling 2024h1
    URI: https://sapling.ct.letsencrypt.org/2024h1
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1Yn4OKJQuwEwo1/BeVBh1NYkQBnS8sYmMfQr/VdXOGqPcbwcpw0TtjJBYmn8FA+ZT7hnt7OfF4RTjLNW3bWOkw==
    Номер: AA:6C:B0:C5:C9:F4:C4:9D:8D:8E:A9:0C:39:17:E0:D7:0A:D9:22:10:BF:05:7F:41:50:93:82:CC:35:0C:98:46
    Запуск віконця: 2023-12-15T00:00Z
    Кінець віконця: 2024-07-15T00:00Z
    
  • Назва: Sapling 2024h2
    URI: https://sapling.ct.letsencrypt.org/2024h2
    Відкритий ключ: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWipy8ZdRGs2Y5tBb8h8c4UUREnT/YMbm+FEUQBBScf85txhGRHNN/sNN0L/KDiGu/GsrOBCkDruDfHkD42eZXQ==
    Номер: 85:1B:AE:8E:EE:33:C1:B9:87:3F:C4:9C:7A:7C:27:65:66:3B:6B:80:63:03:04:0A:EC:A6:C1:11:A5:AB:E9:D7
    Запуск віконця: 2024-06-15T00:00Z
    Кінець віконця: 2025-01-15T00:00Z
    

Операції журналу

Щоб перелічити включені корені для певного журналу CT, можна виконати таку команду у вибраному вами терміналі:

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

Надсилання сертифікатів до журналу CT зазвичай обробляється центрами сертифікації. Якщо бажаєте поекспериментувати з цим, почніть з отримання довільного закодованого сертифіката PEM з нашого улюбленого вебсайту. Скопіюйте та вставте наступний блок до вашого терміналу.

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

Перш ніж подавати сертифікат, він повинен бути закодований JSON у спеціальній структурі. Щоб виконати це завдання, ви можете скористатися генератором JSON тут: https://crt.sh/gen-add-chain. Утиліта crt.sh поверне пакет JSON. Завантажте пакет на свій комп'ютер, перейменуйте файл, якщо потрібно, і виконайте наступну команду, щоб здійснити операцію додавання ланцюжка (RFC 6962, розділ 4.1) і відправити сертифікат до журналу CT. Результат буде містити підпис, який насправді є SCT. Детальніше про підпис за мить.

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

Щоб підтвердити, що журнал CT підписано фрагментом Oak 2020, ми використовуємо поле id з наведеної вище команди та запускаємо його за допомогою наведеної нижче команди. Результатом цього буде вихідний ідентифікатор журналу CT.

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

Використовуючи поле підпису, можна перевірити, що сертифікат було надіслано до журналу. Використавши наш Посібник з глибокого занурення SCT, можна продовжити декодувати це значення.

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84