Certificate Transparency log сенім саясаты

Сайттар сертификаттарын арнайы куәландыру орталықтары (КО) береді және интернетте жұмыс істеу олардың адалдығына толық сенімділікті білдіреді. Certificate Transparency стандарты (бұдан әрі CT) сертификаттардың қателікпен немесе алаяқтық мақсатта шығарылуын бақылау арқылы қосымша бақылауды қамтамасыз етеді.

Certificate Transparency не үшін қажет?

Сайттардың сертификаттарын тексеру кезінде браузерлер келесі қағидатты ұстанады: куәландыру орталығына сенім ол шығарған сертификаттарға деген сенімді білдіреді. Кейде куәландыру орталықтары домен иесінің рұқсатынсыз, мысалы, тестілеу мақсатында сертификаттар шығарған. Егер осындай сертификат пен жабық кілт зиянкестің қолына түссе, ол Ортадағы адам шабуылын (Man-in-the-middle) ұйымдастыра алады, себебі браузер тұрғысынан сертификат жарамды.

Осы сертификаттарға қатысты мәселені шешу үшін Certificate Transparency стандарты жасалды. Әрбір шығарылған сертификат туралы ақпарат арнайы Certificate Transparency логтеріне жазылады. Мұндай журналдарды бақылау домен үшін барлық сертификаттардың шығарылуын қадағалауға және қате сертификатты жіберіп алмауға мүмкіндік береді.

CT log дегеніміз не?

Бұл — шығарылған сертификаттар туралы ақпарат тіркелетін арнайы журнал. Ол жазбаларды қосу үшін ашық және оларды жою немесе өңдеу үшін жабық болуы керек. Бұл үшін Меркл ағашы деп аталатын хэштер құрылымы қолданылады.

CT журналдары барлығына қолжетімді, бұл төмендегілерге мүмкіндік береді:

  • пайдаланушылар мен браузерлерге — домен үшін барлық сертификаттардың шығарылуын қадағалауға және олардың түпнұсқалығын тексеруге;

  • сайт иелеріне — рұқсатсыз сертификаттардың шығарылуын анықтауға.

CT журналында сертификат тіркелген кезде куәландыру орталығына осы сертификаттың қол қойылған уақыт белгісі (Signed Certificate Timestamp, бұдан әрі SCT) беріледі. Куәландыру орталығы сайт иесіне сертификатты уақыт белгісімен бірге береді. Браузер сайтпен байланыс орнатқанда, сервер сертификатпен бірге бір немесе бірнеше журналдың уақыт белгісін ұсынуы керек.

Яндекс Браузер қандай сертификаттарға сенеді?

Қазіргі уақытта Браузер Яндекстің CT журналынан бір уақыт белгісін қамтитын сертификаттарға сенеді (ҰКО сенімді CT журналдары тізімінің басында сипатталған). Жақын арада Браузер сенімді тізімдегі кез келген CT журналынан бір уақыт белгісін және Яндекс CT журналынан бір уақыт белгісін қамтитын сертификаттарға сенеді.

Басқа куәландыру орталықтары шығарған CT журналдарына қатысты Браузер Google саясатын ұстанады.

CT журналына қойылатын талаптар

CT журналының иесі келесілерді орындауға міндетті:

  • RFC 6962 стандартының барлық талаптарын орындау, оның ішінде 4-бөлімде анықталған API мекенжайларын іске асыру.

  • Журналдың қолжетімділігін 99% немесе одан жоғары деңгейде қолдау, журналды тіркеу кезінде көрсетілген максималды біріктіру кідірісінен (Maximum Merge Delay, бұдан әрі MMD) асатын уақытқа өшірмеу. Журналдың қолжетімділігі журнал иесінің емес, Яндекстің деректері бойынша анықталады.

  • MMD-ден 24 сағаттан астам уақытқа асатын ақауларға жол бермеу. Бұл талап желілік деңгейдегі ақауларға, журналдың SSL сертификатының мерзімінің аяқталуына, сертификат тіркеуден бас тартуға, 200-ден өзгеше HTTP жауап кодтарына, сондай-ақ RFC 6962 талаптарына сәйкес келмейтін жауаптарға қатысты.

  • Журнал деректерін алуды немесе ортақ пайдалануды шектемеу.

  • Журналды тек ақпарат қосу үшін қолжетімді ұстау.

  • Кез келген сұрау бойынша кез келген уақытта Меркл ағашының келісілген көрінісін беру.

  • Иесі әртүрлі уақытта немесе әртүрлі тараптарға беретін Меркл ағашының көріністері бір-бірінен ерекшеленбеуі керек.

  • Уақыт белгісі берілген сертификаттарды MMD шегінде журналға қосу.

  • Журналға бұрын қосылған сертификатты тіркеу туралы өтініш алған кезде, сайт иесіне бұрын берілген SCT-ны қайтару немесе MMD шегінде сертификаттың жаңа жазбасын қосу, осылайша жаңа SCT-ны RFC 6962-де сипатталған API арқылы тексеруге болады.

  • Яндекс ұжымын журналды сенімділер тізімге қосу туралы өтінім деректеріндегі барлық өзгерістер туралы электрондық пошта арқылы хабардар ету.

Талаптарды бұзу CT журналын сенімділер тізімнен алып тастауға әкелуі мүмкін. Браузер мұндай журналдың белгілеріне сенбейді. Журналда қамтылған сертификаттар басқа журналдардың белгілерін қамтыса ғана сенімді болып қала береді.

CT журналын сенімділер тізіміне қосу

  1. Өтінімді Яндекс ұжымына электрондық пошта арқылы жіберіңіз. Өтінімде мынаны көрсетіңіз:

    • мерзімді түрде қарайтын электрондық поштаңыздың мекенжайы;

    • Яндекс Браузер ұжымымен әрекеттесетін өкілдердің аты-жөні.

    Ескерту

    Өтінімді жіберу арқылы сіз басқа CT журналының иелерінен ұйымдастыру жағынан тәуелсіз екеніңізді растайсыз. Егер журналыңыз тәуелсіз болмаса, бұл туралы Браузер ұжымын электрондық пошта арқылы мүмкіндігінше тезірек хабардар етіңіз.

  2. Байланыс ақпаратын растағаннан кейін Браузер ұжымы CT журналы туралы келесі ақпаратты сұрайды:

    • RFC 6962, 4-бөлімде көрсетілген барлық клиент сұрауларына жауап беретін CT журналының жалпыға қолжетімді мекенжайы.

    • DER кодтауындағы SubjectPublicKeyInfo ASN.1 құрылымының екілік файлы түріндегі журналдың ашық кілттері.

    • Журналдың сипаттамасы, соның ішінде журналға қолданылатын саясаттар мен сертификаттарға қойылатын талаптар.

    • Максималды біріктіру кідірісі (Maximum Merge Delay).

    • Сенімді түпкі сертификаттар жиынтығы.

    • Журналдың әрекет ету мерзімі [басталу күні, аяқталу күні] түрінде.

    • Сегменттелген журналдардың қызмет мерзімдері (бір-бірінің артынан бос орынсыз орналасуы керек, журналдардың әр қызмет мерзімі 6-дан 12 айға дейінгі аралықта болуы керек).

    • Журнал мерзімі өткен және қайтарылған сертификаттарды қабылдамай ма, жоқ па.

Сертификатты CT журналына қосу саясаты

  1. Қабылданған түпкі сертификаттар.
    Біз CT журналының барлық қолдау көрсетілетін платформаларда, соның ішінде Windows, macOS, Linux, Android, iOS жүйелерінде Браузер әдепкі бойынша сенетін куәландыру орталықтарының сертификаттарын қамтитынын күтеміз.

    Сондай-ақ сіздің журналыңыз Яндекстің Merge Delay Monitor Root шығарған сертификаттарды қабылдауы керек, сонда Яндекс журналдың осы саясатқа сәйкестігін тексере алады.

  2. Сертификаттарды қабылдамау.
    Белгілі бір жағдайларда, мысалы, егер сертификаттың мерзімі өткен болса немесе жіберу кезінде ол қайтарылған болса, сертификаттарды CT журналына қоспауға болады. Сертификатты қабылдамау дегеніміз — тіпті сертификат сенімді түпкі сертификатқа байланыстырылған болса да, ол туралы жазба Меркл ағашына енгізілмейді. CT журналы қабылдамаған сертификатқа SCT берілмейді.

    • Сертификат кері қайтарылды. Егер CT журналы сертификаттың сертификаттау орталығы тарапынан қайтарылғанын анықтаса, ол оны қабылдамауы мүмкін. Егер журнал сертификаттың қайтарылғанын не қайтарылмағанын анықтай алмаса, ол сертификат туралы жазбаны MMD шегінде Меркл ағашына қосуы керек.
    • Сертификаттың мерзімі өтті. Егер сертификаттың notAfter мәні жіберу күнінен кіші күнді қамтыса, CT журналы сертификатты қабылдамауы мүмкін. Бұл шартты сертификаттың қызмет мерзімінің аяқталуын орнатпайтын ескірген CT журналдары да қолдануы мүмкін.

  3. Уақытша сегменттеу.
    CT журналдары өлшемдерінің өсуін бақылау және икемділікті қамтамасыз ету үшін жаңа CT журналдары сертификаттардың қызмет мерзімінің аяқталу диапазоны бойынша [басталу күні, аяқталу күні] түрінде бөлінеді. Бұл CT журналына әр журнал қабылдайтын жалпыға қолжетімді сертификаттар жиынтығын бөле отырып, мерзімі көрсетілген диапазоннан тыс аяқталатын сертификаттарды қабылдамауға мүмкіндік береді.

    Ол үшін:

    • CT журналы үшін сертификаттар қызметі мерзімдерінің аяқталу диапазоны алты айдан кем болмауы және бір күнтізбелік жылдан аспауы керек.

    • CT журналы notAfter қызмет мерзімінің аяқталу диапазонынан тыс сертификаттарды қабылдамауы керек.

    • Сегменттелген CT журналдарының саны қазіргі уақыттан бастап үш-төрт жылға дейінгі кезеңді қамтуы керек. Көптеген адамдар жылдық ауқымдарды, мысалы, Log2020, Log2021, Log2022, Log2023 орнатуды ыңғайлы деп санайды.

    Диапазон аяқталғаннан кейін сегменттелген CT-журналдар тізімнен жойылады. Жойылған кезде журнал иесі оның қызмет ету диапазонын ұзарту үшін жаңа CT журналын жасауы керек. Мысалы, 2021 жылдың басында Log2020 жойылған кезде, Log2024 тізіміне қосылуға өтініш беру керек.

  4. Саясатты бұзу.
    Яндекс ұжымы CT журналдарын өз қалауы бойынша тексереді. Осы Саясатты бұзатын CT журналдары Яндекстің сенімділер тізімінен кез келген уақытта жойылуы мүмкін.

Қолдау қызметіне жазу