今天我们要启动证书透明监控（我的暑期实习项目！）帮助客户发现恶意证书。如果您选择使用CT监控，我们将在您的某个域颁发证书时向您发送电子邮件。我们爬网所有的公共日志以快速找到这些证书。CT监控现在是公测版，可以在Cloudflare的Crypto选项卡中启用仪表板.后台web浏览器在地址栏中包含一个锁定图标。这个图标实际上是一个按钮-如果你是一个安全倡导者或强制点击者（我两者都是），你可能已经点击过它！下面是你在Google上这么做的结果Chrome:好像是这样好消息。Cloudflare博客提供了一个有效的证书，您的数据是私有的，并且一切都是安全的。但这到底意味着什么？证书您的浏览器正在执行一些幕后工作，以确保您的安全。当你请求一个网站（比如，cloudflare.com网站)，网站应出示证明其身份的证书。这个证书就像一个批准的印章：它表明你的连接是安全的。换言之，证书证明内容在传输给您的过程中没有被拦截或修改。修改后的Cloudflare站点会有问题，特别是如果它看起来像实际的Cloudflare站点。证书通过包含有关网站及其业主。我们把这些证书传来传去，因为荣誉系统在互联网上不起作用。如果您想为自己的网站申请证书，只需向证书颁发机构（CA）申请证书，或者注册Cloudflare，我们将为您提供！中情局签发证书就像真实的公证人在法律文件上盖章一样。他们确认您的身份，查看一些数据，并使用他们的特殊身份授予您数字证书。流行的CA包括DigiCert、Let's Encrypt和Sectigo。这个系统很好地为我们服务，因为它控制了冒名顶替者，同时也促进了域名所有者和他们之间的信任访客。很不幸，什么都不是太好了。它结果是CAs犯了错误。在极少数情况下，他们会变得鲁莽。当这种情况发生时，会颁发非法证书（即使它们看起来是真实的）。如果CA意外地为您的网站颁发了证书，但您没有申请证书，则说明您有问题。任何收到证书的人都可以：从您的访客。打断通过提供不同的服务内容。这些攻击确实会发生，所以有充分的理由关心证书。更常见的情况是，当域所有者发现意外的证书时，他们会失去对其证书的跟踪并惊慌失措。我们需要一种方法来防止这些情况破坏整个系统证书透明，证书透明（CT）。CT解决了我刚才描述的问题，它公开了所有证书，并且易于审核。当CA颁发证书时，它们必须向至少两个"公共日志"提交证书。这意味着这些日志共同携带有关Internet上所有可信证书的重要数据。几家公司提供CT日志，谷歌也推出了一些自己的日志。我们最后发布了Cloudflare的Nimbus日志年。日志它们真的，真的很大，而且经常持有数亿张证书记录日志基础设施帮助浏览器验证网站的身份。当你要求的时候cloudflare.com网站在Safari或googlechrome中，浏览器实际上需要在CT日志中注册Cloudflare的证书。如果在日志中找不到证书，则不会在地址栏旁边看到锁图标。相反，浏览器会告诉你你试图访问的网站不安全。你要去一个标有"不安全"的网站吗？可能不，在那儿是审计CT日志和报告非法证书的系统。因此，如果您的浏览器在日志中找到了一个也受信任的有效证书，那么一切都是安全。什么我们今天宣布CloudFlare已经成为CT行业的领导者。除了Nimbus，我们还推出了一款名为Merkle Town的CT仪表盘，并解释了我们是如何制造的。今天，我们发布了一个公开的证书透明测试版监控。如果如果您选择使用CT监控，我们将在您的某个域颁发证书时向您发送电子邮件。当您收到警报时，不要惊慌失措；我们会谨慎行事，只要发现可能的域匹配，就会发送警报。有时你会注意到一个可疑的证书。也许你不认识发行者，或者子域不是你提供的（例如。slowernetnet.cloudflare.com). 警报会快速发送，以便您可以在出现问题时联系CA错了。这个提出了一个问题：如果服务已经审计了公共日志，为什么需要警报？不应该自动发现错误吗？不，因为审计并不详尽。审核证书的最佳人选是你。你知道你的网站。你知道你的个人信息。Cloudflare会把相关证书放在前面你。你可以在Cloudflare仪表板上启用CT监视。只需转到"加密"选项卡，找到"证书透明度监视"卡。如果你在CT里太受欢迎了，你可以随时关闭这个功能世界。如果你正在做商业或企业计划，你可以告诉我们通知谁。我们接受多达10个电子邮件地址作为警报接收者，而不是向区域所有者（我们为免费和专业客户）发送电子邮件。我们这样做是为了避免压倒大型团队。这些电子邮件不必绑定到Cloudflare帐户，可以随时手动添加或删除时间。怎么了这实际上起到了作用，我们的加密和SSL团队为实现这一目标而努力工作；他们建立在前面提到的一些聪明工具的工作基础上早期：梅克尔镇是CT数据的中心。我们处理所有可信证书，并在我们的网站上提供相关统计数据。这意味着互联网上发布的每个证书都要经过Cloudflare，而且所有数据都是公开的（所以这里没有隐私问题）。它有4亿多证书。注意：Cloudflare、Google和DigiCert不是唯一的CT日志供应商。所以过程如下。。。在某个时间点，你（或冒名顶替者）为你的网站申请证书。证书颁发机构批准请求并颁发证书。在24小时内，CA将此证书发送到一组CT日志。这就是我们要做的：Cloudflare使用一个称为"爬虫"的内部进程来查看数百万个证书记录。Merkle Town派遣爬虫监视CT日志并检查新证书。当爬虫找到一个新证书时，它通过Merkle获取整个证书镇上。什么时候我们在Merkle Town处理证书，我们还根据监控域的列表进行检查。如果您启用了CT监控，我们会立即向您发送警报。这仅仅是因为梅克尔镇现有的基础设施。而且，爬虫速度快得惊人。我收到了证书警报。现在怎么办？好问题。大多数情况下，证书警报是例行的。证书会定期过期和续签，所以收到这些电子邮件是完全正常的。如果一切看起来都是正确的（发行人，你的域名，等等），继续把邮件扔进垃圾。进来很少的情况下，你可能会收到一封看起来可疑的邮件。我们提供了一个详细的支持文章，将有助于。基本协议是回复：联系CA（在电子邮件中列为"颁发者"）。解释为什么您认为证书是可疑。那个CA应该吊销证书（如果它真的是恶意的）。我们还有一个友好的支持团队可以联系到这里。虽然Cloudflare不在CA并且不能撤销证书，但是我们的支持团队对证书管理非常了解，并且已经准备好了救命啊FutureCertificate Transparency已经开始定期出现在Cloudflare博客上。为什么？这是Chrome和Safari所需要的，它们在浏览器市场占据主导地位，并为互联网安全树立了先例。但更重要的是，CT可以帮助我们在恶意证书被用于攻击之前发现它们。这就是为什么我们将继续改进和改进我们的证书检测方法。什么你在等吗？去启用证书透明监视！