证书透明度（简称CT）是一个用于监控和审计SSL/TLS证书颁发的系统，旨在增加SSL/TLS证书颁发和管理的透明性，防止证书颁发机构（简称CA）错误或恶意地颁发证书，从而增强互联网的安全性。

一、证书透明度的概念

证书透明度机制要求所有的证书颁发操作都必须被记录和公开，实现对CA行为的监控和审计。这一机制通过以下三个主要组件工作：

1.证书日志（CT Logs）：保存所有证书的签发记录，任何人都可以查询或者验证颁发的数字证书是否已经被合理地记录在了日志之中。

2.监控器（Monitors）：定期监视日志服务器中是否存在异常行为和可疑证书，如发现有冒充者伪造证书，即可快速与CA机构联系，撤销非法证书。

3.审核员（Auditors）：验证日志系统的合法性和权威性，确保日志系统中记录的证书与CA颁发的原始证书一致。

二、证书透明度的工作原理

1.日志记录：当CA颁发一个新的SSL/TLS证书时，必须在证书中包含一个指向公开日志系统的引用，以便将该证书记录到日志中。同时，CA还需要将证书的哈希值提交给日志系统，以便进行查询和审计。

2.签名证书时间戳（SCTs）：当证书被记录时，日志服务器会发出SCT作为证书包含的证明。客户端（如浏览器）会检查这些SCTs，以验证证书是否已正确记录在CT日志中。

三、浏览器对证书透明度的支持

为了增强安全性，主流浏览器已经广泛支持证书透明度。以下是一些主流浏览器的支持情况：

1.Google Chrome：Chrome是最早推动证书透明度的浏览器之一。从版本68开始，Chrome要求所有新的网站证书必须遵守证书透明度政策。

2.Mozilla Firefox：Firefox通过“安全连接失败”页面上的错误消息支持证书透明度。Firefox不强制要求所有证书都符合证书透明度，但允许用户查看证书中的SCTs信息。

3.Apple Safari：Safari也支持证书透明度，会检查网站证书中的SCTs。在某些版本的iOS和macOS中，苹果要求所有新颁发的证书必须符合证书透明度要求。

4.Microsoft Edge：随着Edge转向Chromium内核，也继承了Chrome的证书透明支持。Edge会对证书中的SCTs进行验证，并在发现问题时提供反馈信息。

5.Opera：由于Opera现在也是基于Chromium内核的，同样支持证书透明度，并会执行SCTs的验证。

通过这些浏览器的支持，证书透明度成为了维护网络安全的关键组成部分，有效地防止了中间人攻击（MITM）和检测CA滥用行为。

Dogssl.com拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!