Let's Encrypt释出开放凭证透明度日志系统Oak

Let's Encrypt宣布释出新的透明日志系统Oak，这个系统可以接收所有公开受信任的凭证颁发机构提交凭证，供浏览器查询凭证的有效性以侦测恶意网站，这项计划由凭证颁发机构Sectigo提供大部分的资金援助。

凭证透明度（Certificate Transparency，CT）适用于监督以及监控凭证颁发的系统，提供所有人都有监督凭证的能力，并让凭证发布生态系以及网页安全获得显著的改进。由于现代加密技术，浏览器通常都可以检测凭证真伪，因此即便恶意网站伪造凭证，很快就会被发现，但是当恶意网站使用的是凭证颁发机构错误发出，或是被偷走的凭证，以目前的加密机制来说，是难以察觉的。

浏览器仍然会认为这些凭证来自信誉良好的凭证颁发机构，而且网站也使用安全的连线方式，所以浏览器不疑有他的认为该网站是真实没问题的，而之所以让这些恶意网站有机可乘，是因为缺乏有效的即时验证凭证方法，而当这些有问题的凭证被恶意使用时，可能要经过数周甚至数月凭证才会被撤销，但这段时间足以让有心人士在用户不知情的状况，安装恶意程式甚至是监控用户。

凭证透明度便是出现来解决这项问题的，以开放的方式，让网域拥有者、凭证颁发机构以及网域使用者能够公开审核SSL凭证，让凭证颁发机构无法在网域拥有者不知情的状况下，发布该网域的SSL凭证，而且也让网域拥有者与凭证颁发机构，能以审核与监控系统侦测错误或是恶意发布的凭证，而对于一般使用者来说，也能免于受有问题的凭证欺骗。

Let's Encrypt认为，凭证透明度日志系统有助于创建安全且具隐私的网络环境，因此从2015年开始，Let's Encrypt就开始记录每一个他们发布的凭证，到目前为止已经累积有五亿个凭证，由于Let's Encrypt每天发出超过一百万张凭证，因此他们需要拥有为高容量最佳化设计，能够存放大量凭证透明度日志的系统，另外，Let's Encrypt也提到，Google Chrome要求所有的新凭证都要来自于两个独立的日志系统，而这也是Let's Encrypt要建立多个日志系统的原因之一。

Oak建立在AWS基础架构上，执行Google透明且可扩展的加密验证资料储存软件Trillian，并使用Kubernetes进行容器编排和作业调度，还使用了AWS RDS进行资料管理，打造出不只能够放进Let's Encrypt的凭证，也能供其他凭证颁发机构提交凭证的系统。Let's Encrypt现正申请加入Google Chrome和Apple Safari的日志列表中，在90天后应该就能正式被加入可信任列表中，使用者会由更新的浏览器获得更新。除了Let's Encrypt，Google、Sectigo、Cloudflare和DigiCert也都有营运开放日志系统。