明年10月GoogleChrome将强制要求网站遵循凭证透明化政策

Google软件工程师Ryan Sleevi上周宣布，在明年10月以后发行的网站凭证必须遵循Chrome的凭证透明化政策，才能为该浏览器所信赖。

由凭证机构（CA）所发行的凭证可用来识别网站的主机名称并验证网站拥有者的身份，使用者通常会信赖由坊间数百个CA所核发的凭证，但有时CA可能会因人为疏失或遭入侵而误发凭证。

例如荷兰的凭证机构DigiNotar曾于2011年遭到入侵，造成逾200个假凭证外流，Gmail及Facbook的网址在伊朗被冒用，马来西亚的DigiCert则曾误发数十个SSL凭证，可供伪造网站或签署恶意软件。浏览器业者也会针对不够严谨的CA提出反制，像是Chrome在去年封锁了来自CNNIC的凭证，Firefox日前也封锁了来自沃通与StartCom的凭证。

由Google在2013年所发起的凭证透明化（Certificate Transparency，CT）专案改变了凭证的核发程序，要求CA必须将凭证写入可公开验证、无法窜改且仅供附加资料的纪录中，以让使用者的浏览器可承认其效力，在造访HTTPS网站时，除非该站的凭证已写入CT纪录中，否则浏览器可能不会显示安全连线的图示。

Google表示，此一开放的监控系统将让网域所有人与CA藉以判断相关凭证是否被滥用或遭到误发。CT现已成为互联网工程任务小组（IETF）实验性的开放标准与开放源码框架。

Sleevi说，Chrome团队相信CT生态体系将会渐次茁壮，到了明年10月就能实现此一要求，若有各种特别的使用案例都可向IETF提出说明。