Facebook發佈憑證透明度監控工具,追蹤域名的憑證紀錄

Facebook for developers 釋出一組「憑證透明度監控」工具,讓網站管理者可以自動追蹤網域的憑證核發紀錄,若不幸發生憑證誤發、遭第三方擅自取用申請的狀況時,也能在第一時間察覺,避免影響品牌商譽。
評論
REUTERS/Dado Ruvic
REUTERS/Dado Ruvic
評論

暨 Chrome 宣佈 2017 年 10 月後網站都要遵守憑證透明化政策 (Certificate Transparency,CT) 才會被瀏覽器列為安全顯示後,現在 Facebook for developers 釋出一組「憑證透明度監控」工具,讓網站管理者可以自動追蹤網域的憑證核發紀錄,若不幸發生憑證誤發、遭第三方擅自取用申請的狀況時,也能在第一時間察覺,避免影響品牌商譽。對於憑證透明化政策尚未如此熟悉的讀者,不妨回顧此篇文章 「您可能聽過 SSL 數位憑證,但您知道憑證透明化的重要性嗎?」

簡單來說,憑證透明化就是要求 CA 廠商將旗下所頒發的 SSL 數位憑證資料,記錄到 Google log server,透過資料的完整揭示,增加網站安全性、並確保憑證的合法使用。基於此 CT 政策,Facebook 在官方的說明上直接指出「憑證透明度是開放式架構,可紀錄、稽核和監控網路上所有公開信任的 TLS 憑證。此工具可讓你搜尋針對指定網域發行的憑證。」清楚地說明了本產品用途與目的。

facebook憑證透明度監控系統

上圖是使用介面截圖,此套監控服務建立於 CT 政策的執行,透過每小時的數據更新,追蹤網域的憑證狀態,避免網域遭第三方擅自使用、或是出現憑證誤頒事件,從中保護網站資料的安全,例如會員資料、金流信用卡交易資訊等等。從上圖中,你可以看到當輸入了「facebook.com」就會顯示基於此網域建立的所有憑證資料,包含主旨、發行者、有效期與完整的憑證檔,而網域管理者也可以透過訂閱功能,定期將最新狀態回傳至信箱。有興趣者可以直接至服務頁面試試看,順便檢查網域是否都在安全的使用狀態下運行。 服務連結

2017 年將是個網站全面 HTTPS 化的時代,不僅 Google 宣佈從 1 月起將針對沒安裝 SSL 數位憑證的網站,強制顯示不安全,至 10 月後當網站的憑證頒發商沒導入 CT 政策,將也有可能影響到網站的安全瀏覽。此外,不僅是 Chrome,Mozilla 也宣佈在明年將導入 CT 政策,顯示網站的憑證紀錄以強化使用安全。因此,建議大家可以先從 Facebook 提供的這套工具開始,逐一檢查網站安全性!