Certificate Transparency (CT) とは、SSL/TLS 証明書の発行を公開ログサーバーに記録し、不正な証明書の発行を検出・防止する仕組みです。Google が 2013 年に提唱し、RFC 6962 で標準化されました。
CT の背景には、認証局 (CA) が誤ってまたは不正に証明書を発行するインシデントが複数発生したことがあります。2011 年の DigiNotar 事件では、不正に発行された証明書が中間者攻撃に悪用されました。CT はこうした問題を早期に検出するための透明性メカニズムです。<% if (typeof amazonTag !== 'undefined' && amazonTag) { %><a href="https://www.amazon.co.jp/s?k=SSL%20証明書%20セキュリティ&tag=<%= amazonTag %>" target="_blank" rel="nofollow noopener noreferrer" class="amazon-inline-link">Amazon の関連書籍</a><% } else { %>Amazon の関連書籍<% } %>も参考になります。
CT の仕組みは、認証局が証明書を発行する際に公開ログサーバーに記録を送信し、SCT (Signed Certificate Timestamp) を取得するというものです。ブラウザは証明書に SCT が含まれていることを検証し、CT に準拠していない証明書を拒否します。
ドメイン所有者は CT ログを監視することで、自分のドメインに対して不正な証明書が発行されていないかを確認できます。crt.sh などの CT ログ検索サービスが無料で利用可能です。<% if (typeof amazonTag !== 'undefined' && amazonTag) { %><a href="https://www.amazon.co.jp/s?k=PKI%20公開鍵基盤%20入門&tag=<%= amazonTag %>" target="_blank" rel="nofollow noopener noreferrer" class="amazon-inline-link">PKI と公開鍵基盤の入門書</a><% } else { %>PKI と公開鍵基盤の入門書<% } %>も役立ちます。