Google的证书透明性项目已经存在了一段时间,google chrome和mozilla firefox都声称已加入该项目,但是我该如何测试浏览器是否确实支持证书透明性和SCT的三种交付方式?

最佳答案

测试浏览器是否正在检查证书透明性的最简单方法之一就是尝试一个已知的错误站点,例如https://invalid-expected-sct.badssl.com。 Chrome 69使用此地址表示该网站不安全,但是不执行证书透明性的Safari 12.0可以通过该地址。

您可以在https://github.com/chromium/ct-policy/blob/master/ct_policy.md上找到Chrome的政策

苹果正在加强证书透明度,我相信该计划是在iOS 12.1.1和macOS 10.14.2中推出。有关其政策,请访问https://support.apple.com/en-us/HT205280

尽管Firefox内置了支持,但Firefox 63.0.1似乎也不支持证书透明性,我相信在解决其他一些问题之前,目前不会实施。

在尝试测试三种交付方式方面,在https://www.ida.liu.se/~nikca89/papers/pam18.html处有一个研究项目,提供了可用代码,该代码可提取给定域列表的SCT,因此您应该能够使用它来检查所有三种方式。要使其正常工作,请创建一个文件top-1m.csv,其中每个域的条目均位于单独的行上,并以忽略的数字值作为前缀,并在main中执行FirstTestCase函数。另外,您可以查看Conscrypt项目,尽管这需要更多工作。

关于google-chrome - 浏览器是否支持证书透明性?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/49747901/

10-11 03:20