Cloudflare：了解證書透明度監(jiān)控

概述

主流瀏覽器通過 SSL 證書來信任網(wǎng)站。SSL 證書有助于證明網(wǎng)站身份，并在客戶端或瀏覽器發(fā)送內(nèi)容之前確保連接安全。

當(dāng)證書頒發(fā)機(jī)構(gòu)頒發(fā)證書時，它們會在公共的證書透明度 (CT) 日志中保留頒發(fā)記錄。CT 日志是由 Cloudflare 和 Google 等組織管理的大型數(shù)據(jù)庫，聯(lián)合記錄所有有效的證書。每當(dāng) CT 日志中識別到您的域名時，Cloudflare 證書透明度監(jiān)控功能會通過電子郵件發(fā)出警報。因此，CT 監(jiān)控功能會在每次針對您的域名創(chuàng)建 SSL 證書時通知您，并且允許您確認(rèn)新 SSL 證書的合法性。

CT 監(jiān)控功能不會檢測網(wǎng)絡(luò)釣魚行為。例如，對于 cloudflare.com，針對 cloudf1are.com 或 cloud-flare.com 頒發(fā)的證書不會觸發(fā)警報。

啟用證書透明度警報

警報默認(rèn)為關(guān)閉，但可以通過 Cloudflare SSL/TLS 應(yīng)用中的證書透明度監(jiān)控來啟用。Free 和 Pro 域名的警報都限制為每周 10 個，發(fā)送到共享帳戶訪問中定義的所有 Cloudflare 帳戶成員。Business 和 Enterprise 域名可以配置最多 10 個用于接收 CT 警報的電子郵件地址。電子郵件地址不需要關(guān)聯(lián) Cloudflare 帳戶，警報數(shù)目限制為每周 200 個。

警報數(shù)量限制按照證書來計算，而不是發(fā)送的電子郵件數(shù)目。例如，發(fā)送給 5 個收件人的 www.example.com 的警報計算為 1 個警報。

通過設(shè)置電子郵件別名可以向 10 人以上發(fā)送電子郵件，例如：ct-alerts@yourcompany.com。

若要禁用 Free 和 Pro 域名的 CT 警報，請將 Cloudflare 儀表板SSL/TLS 應(yīng)用中的證書透明度監(jiān)控設(shè)為關(guān)。對于 Business 和 Enterprise 域名，請刪除證書透明度監(jiān)控功能中配置的所有電子郵件地址。

針對惡意 SSL 證書采取措施

大多數(shù)證書警報屬于例行性質(zhì)。例如，證書到期并且必須重新頒發(fā)。如果電子郵件中列出了您的域名且附有可識別的所有權(quán)和證書信息，您無需采取任何措施。

不過，發(fā)生以下任意情形時需要采取措施：

您不認(rèn)識證書頒發(fā)機(jī)構(gòu)。

您發(fā)現(xiàn)在收到 CT 警報的前后，您的網(wǎng)站出現(xiàn)了問題。

惡意活動可能難以識別，因此要保持警惕。發(fā)現(xiàn)問題時按照以下建議操作：

▼聯(lián)系證書頒發(fā)機(jī)構(gòu)

只有證書頒發(fā)機(jī)構(gòu)有權(quán)撤銷惡意證書。如果認(rèn)為針對您的域名頒發(fā)了錯誤的證書，請聯(lián)系警報電子郵件中列為頒發(fā)機(jī)構(gòu)的證書頒發(fā)機(jī)構(gòu)。下方列出了若干主要證書頒發(fā)機(jī)構(gòu)的聯(lián)系鏈接：

DigiCert：https://www.digicert.com/support/#Contact

GlobalSign： https://www.globalsign.com/en/company/contact/support/

GoDaddy：https://www.godaddy.com/contact-us?sp_hp=B

IdenTrust：https://www.identrust.com/support/support-team

Let’s Encryp：https://letsencrypt.org/contact/

Sectigo：https://sectigo.com/support

▼聯(lián)系域名注冊機(jī)構(gòu)

域名注冊機(jī)構(gòu)可以暫停有惡意嫌疑的域名。例如，如果您發(fā)現(xiàn)通過 GoDaddy 注冊的惡意域名，聯(lián)系 GoDaddy 支持團(tuán)隊來獲取協(xié)助。

▼其他措施

可以通過多種其他方式來緩解惡意證書問題。您可以通過網(wǎng)站通知來提醒您的訪問者，通過聯(lián)系瀏覽器廠商（Chrome 為 Google，Safari 為 Apple，等等）將域名列入黑名單，或者您可以聯(lián)系 Cloudflare 支持部門。