Certificate Transparency (CT) とは、 SSL/TLS 証明書の発行を公開ログに記録し、不正な証明書の発行を検出・防止する仕組みです。 Google が 2013 年に提唱し、 RFC 6962 で標準化されました。
CT が生まれた背景には、認証局 (CA) の信頼性に関する深刻な事件があります。 2011 年にオランダの認証局 DigiNotar がハッキングされ、 google.com を含む数百の不正な証明書が発行されました。この事件により、認証局を無条件に信頼するモデルの限界が明らかになり、証明書の発行を第三者が監視できる仕組みとして CT が考案されました。
CT の仕組みは、認証局が証明書を発行する際に、その情報を公開ログサーバーに登録することを義務づけるものです。ログは追記専用 (append-only) で改ざんできず、誰でも検索・監視できます。 Chrome は 2018 年以降、 CT ログに登録されていない証明書を信頼しないポリシーを採用しています。
短縮 URL サービスの運営者にとって、 CT は自社ドメインの証明書が不正に発行されていないかを監視する手段になります。 crt.sh などの CT ログ検索サービスで自社ドメインを定期的に検索し、身に覚えのない証明書が発行されていないか確認することが推奨されます。関連書籍は Amazon でも探せます。