Certificate Transparency (CT) Naplók

Utoljára frissítve: 2020. febr. 25. | Dokumentáció megtekinthető

Megjegyzés: Az angol nyelvű változatot a fordítás óta frissítették (2023. szept. 25.) Megtekintés angolul

A Certificate Transparency (CT) a TLS tanúsítványok kiállításának naplózására és felügyeletére szolgáló rendszer. A CT jelentősen javítja mindenki képességét a tanúsítványok kibocsátásának nyomon követésére és tanulmányozására, és ezek a képességek számos javulást eredményeztek a hitelesítésszolgáltatói ökoszisztémában és a webes biztonságban. Ennek eredményeképpen a CT gyorsan kritikus infrastruktúrává válik.

A Let's Encrypt minden általa kiállított tanúsítványt átad a CT naplóknak. Évente megosztott két CT naplót is üzemeltetünk Oak és Testflume néven. Minden nyilvánosan megbízható tanúsító hatóságtól szívesen vesszük, ha beküld a naplóinkba. A CT naplóinkban már számos tanúsító hatóság gyökértanúsítványa szerepel. Lépjen kapcsolatba velünk e-mailben az új gyökértanúsítványok naplóinkhoz való hozzáadásával kapcsolatban, ha az öné még nem szerepel a naplóban.

Iratkozzon fel a közösségi fórum CT bejelentések kategória értesítéseire, hogy értesüljön a CT naplóinkkal kapcsolatos fontosabb bejelentésekről.

Támogatás

Szeretnénk köszönetet mondani a következő partnereknek a Let's Encrypt CT napló nagylelkű támogatásáért. Ha az Ön szervezete segíteni szeretne nekünk e munka folytatásában, kérjük, fontolja meg a szponzorálást vagy adományozást.

Architektúra

Nézze meg a blogunkat, hogy megtudja Hogyan futtatja a Let's Encrypt a CT naplókat!

Naplókövetés

A Let's Encrypt létrehozott egy nyílt forráskódú CT naplókövető eszközt CT Woodpecker néven. Ezt az eszközt saját naplóink stabilitásának és megfelelőségének ellenőrzésére használjuk, és reméljük, hogy mások is hasznosnak tal��lják majd.

CT naplók

Termékek

• Az Oak beépült az Apple és a Google CT programokba.
• A production ACME API környezetünk itt nyújtja be a tanúsítványokat.
• • Név: Oak 2019
    URI: https://oak.ct.letsencrypt.org/2019
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
    Log azonosító: 65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
    Időszak kezdete: 2019-01-01T00:00Z
    Időszak vége: 2020-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2020
    URI: https://oak.ct.letsencrypt.org/2020
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
    Log azonosító: E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
    Időszak kezdete: 2020-01-01T00:00Z
    Időszak vége: 2021-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2021
    URI: https://oak.ct.letsencrypt.org/2021
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
    Log azonosító: 94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
    Időszak kezdete: 2021-01-01T00:00Z
    Időszak vége: 2022-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2022
    URI: https://oak.ct.letsencrypt.org/2022
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
    Log azonosító: DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
    Időszak kezdete: 2022-01-01T00:00Z
    Időszak vége: 2023-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2023
    URI: https://oak.ct.letsencrypt.org/2023
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
    Log azonosító: B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
    Időszak kezdete: 2023-01-01T00:00Z
    Időszak vége: 2024-01-07T00:00Z
    Státusz: Rejected - Shard Expired
  • Név: Oak 2024h1
    URI: https://oak.ct.letsencrypt.org/2024h1
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
    Log azonosító: 3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
    Időszak kezdete: 2023-12-20T00:00Z
    Időszak vége: 2024-07-20T00:00Z
    Státusz: Usable
  • Név: Oak 2024h2
    URI: https://oak.ct.letsencrypt.org/2024h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
    Log azonosító: 3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
    Időszak kezdete: 2024-06-20T00:00Z
    Időszak vége: 2025-01-20T00:00Z
    Státusz: Usable
  • Név: Oak 2025h1
    URI: https://oak.ct.letsencrypt.org/2025h1
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEKeBpU9ejnCaIZeX39EsdF5vDvf8ELTHdLPxikl4y4EiROIQfS4ercpnMHfh8+TxYVFs3ELGr2IP7hPGVPy4vHA==
    Log azonosító: A2:E3:0A:E4:45:EF:BD:AD:9B:7E:38:ED:47:67:77:53:D7:82:5B:84:94:D7:2B:5E:1B:2C:C4:B9:50:A4:47:E7
    Időszak kezdete: 2024-12-20T00:00Z
    Időszak vége: 2025-07-20T00:00Z
    Státusz: Usable
  • Név: Oak 2025h2
    URI: https://oak.ct.letsencrypt.org/2025h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEtXYwB63GyNLkS9L1vqKNnP10+jrW+lldthxg090fY4eG40Xg1RvANWqrJ5GVydc9u8H3cYZp9LNfkAmqrr2NqQ==
    Log azonosító: 0D:E1:F2:30:2B:D3:0D:C1:40:62:12:09:EA:55:2E:FC:47:74:7C:B1:D7:E9:30:EF:0E:42:1E:B4:7E:4E:AA:34
    Időszak kezdete: 2025-06-20T00:00Z
    Időszak vége: 2026-01-20T00:00Z
    Státusz: Usable
  • Név: Oak 2026h1
    URI: https://oak.ct.letsencrypt.org/2026h1
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEmdRhcCL6d5MNs8eAliJRvyV5sQFC6UF7iwzHsmVaifT64gJG1IrHzBAHESdFSJAjQN56TYky+9cK616MovH2SQ==
    Log azonosító: 19:86:D4:C7:28:AA:6F:FE:BA:03:6F:78:2A:4D:01:91:AA:CE:2D:72:31:0F:AE:CE:5D:70:41:2D:25:4C:C7:D4
    Időszak kezdete: 2025-12-20T00:00Z
    Időszak vége: 2026-07-20T00:00Z
    Státusz: Pending
  • Név: Oak 2026h2
    URI: https://oak.ct.letsencrypt.org/2026h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEanCds5bj7IU2lcNPnIvZfMnVkSmu69aH3AS8O/Y0D/bbCPdSqYjvuz9Z1tT29PxcqYxf+w1g5CwPFuwqsm3rFQ==
    Log azonosító: AC:AB:30:70:6C:EB:EC:84:31:F4:13:D2:F4:91:5F:11:1E:42:24:43:B1:F2:A6:8C:4F:3C:2B:3B:A7:1E:02:C3
    Időszak kezdete: 2026-06-20T00:00Z
    Időszak vége: 2027-01-20T00:00Z
    Státusz: Pending

Tesztelés

• Az ilyen naplókból származó SCT-ket NEM SZABAD beépíteni a nyilvánosan megbízható tanúsítványokba.
• A Let's Encrypt production és a staging ACME API környezetek egyaránt küldenek tanúsítványokat a Testflume-nak, de a production környezet nem használja a kapott SCT-ket.
• A Trillian és a certificate-transparency-go új verzióit itt teszteljük, mielőtt bevezetnénk őket a production környezetbe.
• A Testflume elfogadott root-ok listája tartalmazza az összes Oak által elfogadott root-ot, valamint további teszt root-okat.
• A Testflume-ot más tanúsító hatóságok is használhatják tesztelési célokra.
• • Név: Sapling 2022h2
    URI: https://sapling.ct.letsencrypt.org/2022h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
    Log azonosító: 23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
    Időszak kezdete: 2022-06-15T00:00Z
    Időszak vége: 2023-01-15T00:00Z
    
  • Név: Sapling 2023h1
    URI: https://sapling.ct.letsencrypt.org/2023h1
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
    Log azonosító: C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
    Időszak kezdete: 2022-12-15T00:00Z
    Időszak vége: 2023-07-15T00:00Z
    
  • Név: Sapling 2023h2
    URI: https://sapling.ct.letsencrypt.org/2023h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbdCykRsTPRgfjKVQvINRLJk3gy+2qNKOU48bo/sWO0ko75S92C+PBDxsqMEd0YpCYYLogCt2LAK/U4H7UwHsjA==
    Log azonosító: ED:AB:9D:1D:DD:83:73:95:9F:F5:2A:88:E4:6B:B4:BC:C3:C4:CC:4D:76:8A:60:CC:FF:4E:36:2D:7F:B8:D6:68
    Időszak kezdete: 2023-06-15T00:00Z
    Időszak vége: 2024-01-15T00:00Z
    
  • Név: Sapling 2024h1
    URI: https://sapling.ct.letsencrypt.org/2024h1
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1Yn4OKJQuwEwo1/BeVBh1NYkQBnS8sYmMfQr/VdXOGqPcbwcpw0TtjJBYmn8FA+ZT7hnt7OfF4RTjLNW3bWOkw==
    Log azonosító: AA:6C:B0:C5:C9:F4:C4:9D:8D:8E:A9:0C:39:17:E0:D7:0A:D9:22:10:BF:05:7F:41:50:93:82:CC:35:0C:98:46
    Időszak kezdete: 2023-12-15T00:00Z
    Időszak vége: 2024-07-15T00:00Z
    
  • Név: Sapling 2024h2
    URI: https://sapling.ct.letsencrypt.org/2024h2
    Publikus kulcs: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWipy8ZdRGs2Y5tBb8h8c4UUREnT/YMbm+FEUQBBScf85txhGRHNN/sNN0L/KDiGu/GsrOBCkDruDfHkD42eZXQ==
    Log azonosító: 85:1B:AE:8E:EE:33:C1:B9:87:3F:C4:9C:7A:7C:27:65:66:3B:6B:80:63:03:04:0A:EC:A6:C1:11:A5:AB:E9:D7
    Időszak kezdete: 2024-06-15T00:00Z
    Időszak vége: 2025-01-15T00:00Z
    

Napló műveletek

Egy adott CT naplóhoz tartozó root-ok felsorolásához a következő parancsot futtathatja az Ön által választott terminálban:

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

A tanúsítványok CT-naplóba történő benyújtását jellemzően a tanúsító hatóságok végzik. Ha ezzel szeretne kísérletezni, kezdje azzal, hogy lekér egy tetszőleges PEM-kódolású tanúsítványt kedvenc weboldalunkról. Másolja ki és illessze be a következő blokkot a terminálba.

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

Mielőtt egy tanúsítványt elküldhetnénk, azt egy speciális struktúrában JSON-kódolással kell ellátni. A feladat elvégzéséhez használhatja a https://crt.sh/gen-add-chain által biztosított JSON-generátort. A crt.sh segédprogram egy JSON csomagot fog visszaadni. Töltse le a csomagot a számítógépére, nevezze át a fájlt, ha szükséges, és adja ki a következő parancsot az add-chain művelet végrehajtásához (RFC 6962 4.1 szakasz), hogy a tanúsítványt elküldje egy CT naplóba. A kimenet tartalmazni fog egy aláírást, amely valójában egy SCT. Az aláírásról hamarosan bővebben.

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

Annak megerősítéséhez, hogy a CT naplót az Oak 2020 shard írta alá, használjuk a fenti parancs id mezőjét, és futtassuk le a következő paranccsal. Az eredmény a CT-napló naplóazonosítója lesz.

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

Az aláírás mező segítségével ellenőrizhetjük, hogy a tanúsítványt elküldték-e egy naplóba. A SCT deep dive guide segítségével tovább dekódolhatja ezt az értéket.

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84