Cloudflare：了解證書(shū)透明度監(jiān)控

概述

主流瀏覽器通過(guò) SSL 證書(shū)來(lái)信任網(wǎng)站。SSL 證書(shū)有助于證明網(wǎng)站身份，并在客戶(hù)端或?yàn)g覽器發(fā)送內(nèi)容之前確保連接安全。

當(dāng)證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)證書(shū)時(shí)，它們會(huì)在公共的證書(shū)透明度 (CT) 日志中保留頒發(fā)記錄。CT 日志是由 Cloudflare 和 Google 等組織管理的大型數(shù)據(jù)庫(kù)，聯(lián)合記錄所有有效的證書(shū)。每當(dāng) CT 日志中識(shí)別到您的域名時(shí)，Cloudflare 證書(shū)透明度監(jiān)控功能會(huì)通過(guò)電子郵件發(fā)出警報(bào)。因此，CT 監(jiān)控功能會(huì)在每次針對(duì)您的域名創(chuàng)建 SSL 證書(shū)時(shí)通知您，并且允許您確認(rèn)新 SSL 證書(shū)的合法性。

CT 監(jiān)控功能不會(huì)檢測(cè)網(wǎng)絡(luò)釣魚(yú)行為。例如，對(duì)于 cloudflare.com，針對(duì) cloudf1are.com 或 cloud-flare.com 頒發(fā)的證書(shū)不會(huì)觸發(fā)警報(bào)。

啟用證書(shū)透明度警報(bào)

警報(bào)默認(rèn)為關(guān)閉，但可以通過(guò) Cloudflare SSL/TLS 應(yīng)用中的證書(shū)透明度監(jiān)控來(lái)啟用。Free 和 Pro 域名的警報(bào)都限制為每周 10 個(gè)，發(fā)送到共享帳戶(hù)訪問(wèn)中定義的所有 Cloudflare 帳戶(hù)成員。Business 和 Enterprise 域名可以配置最多 10 個(gè)用于接收 CT 警報(bào)的電子郵件地址。電子郵件地址不需要關(guān)聯(lián) Cloudflare 帳戶(hù)，警報(bào)數(shù)目限制為每周 200 個(gè)。

警報(bào)數(shù)量限制按照證書(shū)來(lái)計(jì)算，而不是發(fā)送的電子郵件數(shù)目。例如，發(fā)送給 5 個(gè)收件人的 www.example.com 的警報(bào)計(jì)算為 1 個(gè)警報(bào)。

通過(guò)設(shè)置電子郵件別名可以向 10 人以上發(fā)送電子郵件，例如：ct-alerts@yourcompany.com。

若要禁用 Free 和 Pro 域名的 CT 警報(bào)，請(qǐng)將 Cloudflare 儀表板SSL/TLS 應(yīng)用中的證書(shū)透明度監(jiān)控設(shè)為關(guān)。對(duì)于 Business 和 Enterprise 域名，請(qǐng)刪除證書(shū)透明度監(jiān)控功能中配置的所有電子郵件地址。

針對(duì)惡意 SSL 證書(shū)采取措施

大多數(shù)證書(shū)警報(bào)屬于例行性質(zhì)。例如，證書(shū)到期并且必須重新頒發(fā)。如果電子郵件中列出了您的域名且附有可識(shí)別的所有權(quán)和證書(shū)信息，您無(wú)需采取任何措施。

不過(guò)，發(fā)生以下任意情形時(shí)需要采取措施：

您不認(rèn)識(shí)證書(shū)頒發(fā)機(jī)構(gòu)。

您發(fā)現(xiàn)在收到 CT 警報(bào)的前后，您的網(wǎng)站出現(xiàn)了問(wèn)題。

惡意活動(dòng)可能難以識(shí)別，因此要保持警惕。發(fā)現(xiàn)問(wèn)題時(shí)按照以下建議操作：

▼聯(lián)系證書(shū)頒發(fā)機(jī)構(gòu)

只有證書(shū)頒發(fā)機(jī)構(gòu)有權(quán)撤銷(xiāo)惡意證書(shū)。如果認(rèn)為針對(duì)您的域名頒發(fā)了錯(cuò)誤的證書(shū)，請(qǐng)聯(lián)系警報(bào)電子郵件中列為頒發(fā)機(jī)構(gòu)的證書(shū)頒發(fā)機(jī)構(gòu)。下方列出了若干主要證書(shū)頒發(fā)機(jī)構(gòu)的聯(lián)系鏈接：

DigiCert：https://www.digicert.com/support/#Contact

GlobalSign： https://www.globalsign.com/en/company/contact/support/

GoDaddy：https://www.godaddy.com/contact-us?sp_hp=B

IdenTrust：https://www.identrust.com/support/support-team

Let’s Encryp：https://letsencrypt.org/contact/

Sectigo：https://sectigo.com/support

▼聯(lián)系域名注冊(cè)機(jī)構(gòu)

域名注冊(cè)機(jī)構(gòu)可以暫停有惡意嫌疑的域名。例如，如果您發(fā)現(xiàn)通過(guò) GoDaddy 注冊(cè)的惡意域名，聯(lián)系 GoDaddy 支持團(tuán)隊(duì)來(lái)獲取協(xié)助。

▼其他措施

可以通過(guò)多種其他方式來(lái)緩解惡意證書(shū)問(wèn)題。您可以通過(guò)網(wǎng)站通知來(lái)提醒您的訪問(wèn)者，通過(guò)聯(lián)系瀏覽器廠商（Chrome 為 Google，Safari 為 Apple，等等）將域名列入黑名單，或者您可以聯(lián)系 Cloudflare 支持部門(mén)。