证书透明度 (Certificate Transparency, CT) 是 Google 于 2013 年提出的安全框架,要求所有公开信任的 SSL/TLS 证书都必须记录在公开可审计的日志中。这一机制旨在检测和防止证书颁发机构 (CA) 错误颁发或恶意颁发证书。
在 CT 框架下,CA 在颁发证书时必须将证书提交到至少两个独立的 CT 日志服务器,并获得签名证书时间戳 (SCT)。浏览器在验证证书时会检查 SCT 的存在,确保证书已被公开记录。欢迎参阅在 Amazon 搜索 PKI 安全书籍。
证书透明度对于 URL 缩短服务的安全性有间接但重要的影响。如果攻击者获得了短链接服务域名的伪造证书,CT 日志可以帮助服务运营者及时发现并撤销该证书。
网站管理员可以通过 CT 日志监控工具 (如 crt.sh) 来监控自己域名的证书颁发情况,及时发现未经授权的证书。在 Amazon 搜索网络安全监控书籍讨论了这些监控策略。