【证书与信任机制】证书透明度(Certificate Transparency):如何防止恶意证书颁发?
证书透明度(Certificate Transparency, CT)的核心原理
证书透明度(CT)是一项由Google主导的开放标准,旨在通过公开记录所有SSL/TLS证书的颁发行为,防止恶意CA错误或故意颁发虚假证书。其核心机制如下:
1. CT的核心组件
• 日志服务器(Log Servers):
公开的、不可篡改的日志数据库,记录所有颁发的证书(包括域名、颁发者、有效期等)。
• 权威日志:由Google、DigiCert等机构运营,浏览器信任的日志列表需包含这些服务器。
• 日志格式:使用Merkle树结构存储证书,确保数据不可篡改。
• 审计服务(Audit Servers):
定期检查日志的一致性,确保证书未被恶意删除或篡改。
• 监控工具(Monitors):
实时扫描日志,发现异常证书(如通配符证书、未授权域名证书)。
2. CT如何防止恶意证书颁发?
• 强制公开记录:
CA在颁发证书后,必须在24小时内将证书提交到至少一个公共日志服务器。
• 浏览器验证:现代浏览器(如Chrome)要求证书必须存在于CT日志中,否则标记为“不安全”。
• 多方监督:
任何组织或个人均可通过工具(如crt.sh)查询日志,发现异常证书(如攻击者尝试伪造的证书)。
• 抗篡改机制:
日志采用Merkle树结构,每个证书对应一个叶子节点,根哈希值由日志服务器公开签名。篡改历史记录会导致根哈希值不匹配,立即被发现。
CT日志解析与监控工具(如crt.sh)
1. CT日志的核心字段
通过解析日志条目,可获取以下关键信息:
{"version": "0.2","timestamp": 1620000000,"entry": {"leaf_input": "Base64编码的证书数据","extra_data": "扩展信息(如域名、颁发者)"}
}
• 关键字段:
• 域名(Domain):证书绑定的域名(如example.com)。
• 颁发者(Issuer):CA名称(如Let's Encrypt)。
• 有效期:证书的生效和过期时间。
• 扩展用途:如Server Authentication。
2. crt.sh工具的使用
crt.sh是一个公开的CT日志查询工具,支持实时监控和历史记录分析。
基本功能
• 查询特定域名的证书:
# 查询所有与example.com相关的证书
crt.sh/?q=example.com
• 查看证书详情:
点击日志条目可查看证书的颁发者、有效期、扩展用途等信息。
• 监控新证书:
输入邮箱地址,接收新证书颁发的通知(如监控域名仿冒行为)。
高级用法
• 过滤异常证书:
# 查找通配符证书(如*.example.com)
crt.sh/?q=*.example.com
• 导出日志数据:
支持JSON/CSV格式导出,用于自动化分析。
• API调用:
通过REST API批量查询证书(需注册API密钥)。
3. 实时监控案例
• 发现未授权证书:
若攻击者为paypai.com申请证书,管理员可通过crt.sh及时发现并向CA投诉。
• 域名劫持预警:
监控example.com的证书记录,发现异常颁发行为(如中间人攻击)。
企业级CT实践指南
1. 部署前的准备工作
• 选择合规的CA:
确保CA支持CT(所有主流CA已强制遵守)。
• 配置HSTS:
强制浏览器使用HTTPS,防止降级攻击。
2. 监控与响应流程
-
定期扫描日志:
使用crt.sh或自研工具,每日检查域名的证书记录。 -
自动化告警:
配置Webhook,当检测到新证书时触发邮件/短信通知。 -
应急响应:
• 发现恶意证书:立即联系CA吊销,并提交CRL。• 内部证书审计:确保所有证书均通过CT公开。
3. 高级防御策略
• 证书绑定(Certificate Pinning):
在客户端固定信任的公钥哈希,即使攻击者获得CT日志中的证书,也无法冒充。
• 私有CT日志:
企业内网部署私有日志服务器,监控内部CA的证书颁发行为。
CT的局限性及应对
-
隐私问题:
• CT公开所有证书的域名信息,可能泄露敏感服务(如内部系统)。• 解决方案:使用SAN(Subject Alternative Name)仅包含必要域名,避免泛用证书。
-
日志延迟风险:
• CA需在24小时内提交证书,期间可能存在攻击窗口。• 解决方案:启用OCSP Stapling实时验证证书状态。
总结:CT如何构建可信的HTTPS生态
• 透明化:所有证书颁发行为公开可查。
• 多方监督:开发者、安全研究人员、浏览器厂商共同参与审计。
• 防御闭环:结合HSTS、证书绑定等技术,形成多层防御体系。
实际应用:
• 个人开发者:通过crt.sh监控个人域名,防止钓鱼攻击。
• 企业安全团队:将CT监控纳入安全运维流程,定期审计证书链。
• CA责任:严格遵守CT规范,避免因违规颁发证书被除名(如Symantec因CT违规被移除根证书)。
相关文章:
:如何防止恶意证书颁发?){kind=spacer}
【证书与信任机制】证书透明度(Certificate Transparency):如何防止恶意证书颁发?
证书透明度(Certificate Transparency, CT)的核心原理 证书透明度(CT)是一项由Google主导的开放标准,旨在通过公开记录所有SSL/TLS证书的颁发行为,防止恶意CA错误或故意颁发虚假证书。其核心机制如下&#…...
【RabbitMq C++】消息队列组件
RabbitMq 消息队列组件 1. RabbitMq介绍2. 安装RabbitMQ3. 安装 RabbitMQ 的 C客户端库4. AMQP-CPP 库的简单使用4.1 使用4.1.1 TCP 模式4.1.2 扩展模式 4.2 常用类与接口介绍4.2.1 Channel4.3.2 ev 5. RabbitMQ样例编写5.1 发布消息5.2 订阅消息 1. RabbitMq介绍 RabbitMq - …...
开发实战)
基于SpringBoot+Vue的房屋租赁管理系统源码包(完整版)开发实战
基于SpringBootVue的房屋租赁管理系统源码包(完整版)开发实战 一、引言 随着城市化进程加速,房屋租赁市场规模持续扩大,传统管理方式已无法满足高效、精准的业务需求。本文基于SpringBootVue框架,设计并实现了一套完…...
《AI大模型应知应会100篇》第61篇:FastAPI搭建大模型API服务
第61篇:FastAPI搭建大模型API服务 摘要 随着大语言模型(LLM)在各行各业的广泛应用,构建一个高性能、可扩展的大模型 API 服务变得尤为重要。FastAPI 以其异步支持、类型安全、自动生成文档等优势,成为当前最流行的选择…...
Java 源码 HashMap源码分析
Java 源码 HashMap源码分析 1 初始容量 /*** The default initial capacity - MUST be a power of two.* 默认的初始容量,必须为2的幂*/static final int DEFAULT_INITIAL_CAPACITY 1 << 4; // aka 16容量表示哈希表中槽的数量(即哈希数组的长度…...
requestAnimationFrame 与 requestIdleCallback 对比
提示:记录工作中遇到的需求及解决办法 文章目录 前言一、背景与问题场景二、核心API对比分析三、选择 requestIdleCallback 的核心原因四、特殊场景处理建议五、最佳实践总结六、结论前言 看过埋点库 sunshine-track ,很多人疑惑为啥批量上报埋点信息的时候,用的是 request…...
【C/C++】自定义类型:结构体
文章目录 前言自定义类型:结构体1.结构体类型的声明1.1 结构体回顾1.1.1 结构的声明 1.1.2 结构体变量的创建和初始化1.2 结构的特殊声明1.3 结构的自引用 2.结构体内存对齐2.1 对⻬规则2.2 为什么存在内存对齐?2.3 修改默认对⻬数 3. 结构体传参4.结构体…...
视频编解码学习十二之Android疑点
一、android.view.SurfaceControl.setDisplaySurface的作用 android.view.SurfaceControl.setDisplaySurface 是 Android 系统中一个 native 层级别的 API,主要用于 设置某个物理显示屏(Display)的输出 Surface,属于 SurfaceFlin…...
web第三次课后作业--基于JDBC对mysql数据库的增删查改操作
一、工程搭建步骤 1.新建java项目,添加jdbc依赖 2.写java程序 3.添加mysql数据源,连接本地数据库 4.运行程序二、运行结果 三、代码 代码解析 加载数据驱动 try {Class.forName("com.mysql.jdbc.Driver"); } catch (ClassNotFoundExceptio…...
fiftyone-数据库配置和config与app_config配置文件
一数据库配置:(以本地为例) fiftyone数据库信息存在配置文件中: 配置文件地址: ~/.fiftyone/config.json 这个配置文件的作用:存放数据库地址信息;(如果不配置,fiftyon…...
Nginx的核心功能--正向代理、反向代理、缓存和Rewrite
Nginx作为高性能的Web服务器,其核心功能主要体现在以下四大模块: 一、正向代理 主要用于客户端访问外部网络的中转服务。典型配置示例: server {listen 8080;resolver 8.8.8.8;location / {proxy_pass http://$http_host$request_uri;prox…...
mac latex vscode 配置
mac latex vscode 配置 安装mactex.pkg 这里有个快速下载的镜像 https://mirrors.aliyun.com/CTAN/systems/mac/mactex/ 可以检查是否将 PATH 写入 export PATH"/Library/TeX/texbin:$PATH"vscode 下载插件 Latex Workshop 在配置文件 settings.json 中输入如下的…...
【GESP真题解析】第 4 集 GESP一级 2023 年 3 月编程题 1:每月天数
大家好,我是莫小特。 这篇文章给大家分享 GESP 一级 2023 年 3 月编程题第 1 题:每月天数。 题目链接 洛谷链接:B3835 每月天数 一、完成输入 根据题目要求,我们需要输入两个整数,分别表示一个日期的年份和月份。 年…...
)
国产免费工作流引擎star 6.5k,Warm-Flow升级1.7.2(新增案例和修复缺陷)
文章目录 主要更新内容项目介绍功能思维导图设计器流程图演示地址官网Warm-Flow视频 主要更新内容 [feat] 开启流程实例,新增流程定义是否存在校验[feat] 新增合同签订流程案例[feat] 新增企业采购流程案例[update] mybatis-plus逻辑删除,删除值和未删除…...
计算机网络:移动通信蜂窝网络指的是什么?
无线基站的蜂窝网络(Cellular Network)是现代移动通信系统的核心架构,其核心思想是通过蜂窝状小区划分和频率复用,实现广域覆盖、高效频谱利用和动态资源管理。以下从设计原理、网络架构、关键技术及实际挑战等方面深入解析蜂窝网络。 一、蜂窝网络的设计原理 1. 蜂窝结构…...
scratch基础-外观模块
一、本次任务 二、内容详解 1、模块介绍 1、说[你好] (2)秒:临时对话框,短暂对话 2、说[你好]:持续显示对话框,长文本显示 3、思考[嗯…] (2)秒:临时显示思考气泡,用于角色思考 4、思考[嗯…] :…...
前端服务器部署分类总结
目前所了解的部署有三种方式: 一是本地服务器部署;二是 nginx 服务器部署;三是云服务器部署 本地部署,准备好部署的包 以Vue项目为例,执行npm run build 命令打成前端包 第二步:将打包结果交给服务器(本地…...
:移情阶段的深度实践与客户访谈方法论)
精益数据分析(58/126):移情阶段的深度实践与客户访谈方法论
精益数据分析(58/126):移情阶段的深度实践与客户访谈方法论 在创业的漫长旅途中,正确识别和验证问题是成功的第一步。今天,我们继续围绕《精益数据分析》中创业阶段的核心内容,深入探讨移情阶段的关键实践…...
MK米客方德SD NAND:无人机存储的高效解决方案
在无人机技术迅猛发展的当下,飞控系统的数据记录对于飞行性能剖析、故障排查以及飞行安全保障极为关键。以往,SD 卡是飞控 LOG 记录常见的存储介质,但随着技术的革新,新的存储方案不断涌现。本文聚焦于以 ESP32 芯片为主控制器的无…...
)
LVDS系列12:Xilinx Ultrascale系可编程输入延迟(二)
本节讲解Ultrascale IDELAYE3的参数; IDELAYE3参数: REFCLK_FREQUENCY:如果使用COUNT模式,保持300MHz的默认值即可; 如果使用TIME模式,则该值与IDELAYCTRL参考时钟要匹配; DELAY_SRC&#…...
Spring的bean的生命周期?
Spring中bean的生命周期包括以下步骤: 通过BeanDefinition获取bean的定义信息。 调用构造函数实例化bean。 进行bean的依赖注入,例如通过setter方法或Autowired注解。 处理实现了Aware接口的bean。 执行BeanPostProcessor的前置处理器。 调用初始化…...
OpenCV CUDA模块中逐元素操作------逻辑运算
操作系统:ubuntu22.04 OpenCV版本:OpenCV4.9 IDE:Visual Studio Code 编程语言:C11 算法描述 比较、AND、OR、NOT等。这类操作可用于创建基于条件的掩码,这对于图像分割或特征选择非常有用。 主要函数 1. 按位与 (cv::cuda::b…...
微信开发者工具里面模拟操作返回、录屏、网络速度、截屏等操作
微信开发者工具里面模拟操作返回、录屏、网络速度、截屏等操作...
Void: Cursor 的开源平替
GitHub:https://github.com/voideditor/void 更多AI开源软件:发现分享好用的AI工具、AI开源软件、AI模型、AI变现 - 小众AI Void,这款编辑器号称是开源的 Cursor 和 GitHub Copilot 替代品,而且完全免费! 在你的代码库…...
【MySQL】日志缓冲区详解 以及 InnoDB内存结构总结
📢博客主页:https://blog.csdn.net/2301_779549673 📢博客仓库:https://gitee.com/JohnKingW/linux_test/tree/master/lesson 📢欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正! &…...
在Spark搭建YARN
(一)什么是SparkONYarn模式 Spark on YARN(Yet Another Resource Negotiator)是 Spark 框架在 Hadoop 集群中运行的一种部署模式,它借助 Hadoop YARN 来管理资源和调度任务。 架构组成 ResourceManager:作…...
postman 用法 LTS
postman 用法 LTS File ---- View ---- Show Postman Console...
Spring Boot requestBody postman
Spring Boot requestBody postman 在处理Spring Boot应用程序中的RequestBody注解时,通常用于接收客户端(如Postman)发送的JSON格式数据。如果你在Postman中配置请求,并希望将JSON数据发送到Spring Boot后端,你可以按…...
OpenHarmony 开源鸿蒙南向开发——linux下使用make交叉编译第三方库——wget
准备工作 请依照这篇文章搭建环境 OpenHarmony 开源鸿蒙南向开发——linux下使用make交叉编译第三方库——环境配置_openharmony交叉编译-CSDN博客 编译依赖 Wget依赖Gnutls库,gnutls库依赖gmp、nettle、libunistring库 上述库可在历史文章中自行查找 下载 w…...
枢轴支压点策略
一种基于枢轴点(Pivot Point)的交易策略,主要用于在趋势行情中进行交易。 策略的核心思路是通过计算前一天的最高价、最低价和收盘价来确定当天的枢轴点,并据此计算出第一和第二阻力位以及第一和第二支撑位。 可以根据这些关键点位…...
【SSL部署与优化】TLS 1.3的核心改进与性能优化
TLS 1.3 的核心改进与性能优化 TLS 1.3 是当前最安全的 TLS 协议版本,通过简化协议、增强加密算法和优化握手流程,显著提升了性能和安全性。以下是其核心改进、性能优化及关键技术的详细解析: 一、TLS 1.3 核心改进 精简加密套件 • 移除弱算…...
等经纬度投影下求经纬度的行列号
一 概述 使用等经纬度投影(Equirectangular Projection), 将经纬度转换为行列号。 二 C实现 1 代码 以下是C的实现方法。该实现将地球的经纬度范围划分为固定分辨率的网格,每个网格对应一个行列号。 #include <cmath> #in…...
MetaHipMer2:从头组装宏基因组
Terabase-scale metagenome coassembly with MetaHipMer | Scientific Reports https://academic.oup.com/nar/advance-article/doi/10.1093/nar/gkaf369/8126258 安装 配置环境 berkeleylab / upcxx / wiki / INSTALL — Bitbucket mamba create -n mhm2_env -c conda-fo…...
CK-S654-PA60一拖四分体式半导体电子货架专用RFID读写器|读码器接线使用说明
半导体行业RFID电子货架通过物联网技术将传统仓储从“经验驱动”转向“数据驱动”,其自动化识别、实时追踪与智能决策能力,正重塑物流与库存管理的底层逻辑。从晶圆盒的精准定位到柔性化生产,这一技术不仅提升了效率,更让半导体行…...
C++类和对象练习:Date类实现日期的差,比较日期的大小,日期的前置后置++,--,输入输出Date类,对默认函数的练习。
引言 C类和对象练习:Date类实现日期的差,比较日期的大小,日期的前置后置,--,输入输出Date类,对默认函数的练习。 _涂色_-博客主页 C基础专栏 分三个文件来写: Date.cpp //类函数的实现 Date.h…...
C++学习之打车软件git版本控制
目录 01 3-git的简介 02 4-git的下载和提交代码 03 5-git添加一个新文件 04 5-删除一个文件 05 6-git的批量添加和提交文件 06 7-git重命名文件名 07 8-git解决代码冲突 08 9-git的分支的概念 09 10-创建项目代码仓库 10 1-git提交代码复习 01 3-git的简介 1 --------…...
QT之信号与槽
欢迎来到 破晓的历程的 博客 ⛺️不负时光,不负己✈️ 文章目录 QT信号与槽机制详解基本概念信号(Signal)槽(Slot) 信号与槽的连接方式基本语法QT5新语法(推荐) 信号与槽的特点实际示例传统方式QT5新语法 连接类型注意事项高级用法信号连接信号使用lambda表达式自动…...
)
文章记单词 | 第73篇(六级)
一,单词释义 apart /əˈpɑːt/ adv. 分开地;相距assistant /əˈsɪstənt/ n. 助手;助理useless /ˈjuːsləs/ adj. 无用的;无效的ampere /ˈmpɛr/ n. 安培(电流单位)recite /rɪˈsaɪt/ v. 背诵&am…...
在Ubuntu24.04中配置开源直线特征提取软件DeepLSD
在Ubuntu24.04中配置开源直线特征提取软件DeepLSD 本文提供在Ubuntu24.04中配置开源直线特征提取软件DeepLSD的基础环境配置、列出需要修改的文件内容,以及报错解决方案集锦。 基础的编译安装环境 python3.8.12CUDA12gcc/g 9.5(系统自带的g-13版本太新…...
什么是SparkONYarn模式?
(一)什么是SparkONYarn模式 Spark on YARN(Yet Another Resource Negotiator)是 Spark 框架在 Hadoop 集群中运行的一种部署模式,它借助 Hadoop YARN 来管理资源和调度任务。 架构组成 ResourceManager:作…...
STMCubeMX使用TB6612驱动编码轮并进行测速
硬件介绍 TB6612电机驱动模块功能与特性 电机方向控制 描述如何通过 TB6612 的 IN1 和 IN2 引脚控制电机的旋转方向。提供代码示例,展示如何通过 GPIO 控制电机的正反转。 速度控制与减速 解释如何通过调整 PWM 信号的占空比来控制电机的速度,并…...
数据安全与权限管控,如何实现双重保障?
数据安全和权限管控并非孤立存在,而是相互依存、相互促进的关系。强大的权限管控体系是数据安全的重要防线,能够从源头上限制潜在的风险;而完善的数据安全策略和技术手段,则为权限管控的有效实施提供了保障。只有构建起数据安全与…...
如何创建自动工作流程拆分Google Drive中的PDF文件
以下是完整的工作流程。在构建自动拆分工作流程之前,您可以尝试我们的免费在线 PDF 拆分器。 步骤 1:Make 自动拆分 PDF 的要求 要设置自动 PDF 拆分工作流程,您需要: 免费的Make.com帐户。可访问 Google Drive 并处理 PDF 文件…...
【SpringBoot实战指南】集成Easy ES
一、Easy ES 简介 Easy ES(简称EE)是一款基于 Elasticsearch 官方 RestHighLevelClient 封装的 ORM 框架,提供类似 MyBatis-Plus 的 API 设计,可以帮助开发者更简单地集成和使用 Elasticsearch,让操作 Elasticsearch …...
)
深入理解指针(1)
🎁个人主页:工藤新一 🔍系列专栏:C面向对象(类和对象篇) 🌟心中的天空之城,终会照亮我前方的路 🎉欢迎大家点赞👍评论📝收藏⭐文章 文章目录 深…...
vue.js中的渲染【条件渲染】
条件渲染 在 Vue 中,条件渲染用于根据表达式的值来决定是否在 DOM 中渲染某个元素。Vue 提供了几种方式来实现条件渲染: v-if 指令 用于根据条件是否为真来销毁或创建元素。 <p v-if"isVisible">显示这段内容</p>data() {retu…...
Qwen3如何强化推理能力?
大模型的推理能力一直是衡量其智能水平的关键指标。近期,Qwen3系列模型在这方面取得了显著突破。通过对Qwen3技术报告的解读,我们可以窥见一套完整的推理能力提升体系。本文将以结构化视角,剖析Qwen3推理能力提升的关键环节。 报告地址&#…...
2025年中国主流DevOps平台对比分析:Gitee、阿里云效与GitLab CE的技术适配与合规实践全景解读
在2025年中国企业数字化转型持续深化的背景下,DevOps 工具的选型呈现出多元化趋势。以下从安全合规、技术生态适配性、实践案例和选型建议四个维度,对 Gitee、阿里云效(云效 DevOps)和 GitLab CE(中国版)三…...
从lightrag的prompt到基于openai Structured Outputs 的优化实现思路
LightRAG 是一个用于构建 RAG 系统核心组件的配置和管理类。它集成了文档处理、存储、向量化、图谱构建和 LLM 交互等功能。你可以通过配置 LightRAG 实例的各种参数来定制 RAG 系统的行为。 目前lightrag中的实体关系抽取实现如下 PROMPTS["entity_extraction"] …...
论文阅读笔记——双流网络
双流网络论文 视频相比图像包含更多信息:运动信息、时序信息、背景信息等等。 原先处理视频的方法: CNN LSTM:CNN 抽取关键特征,LSTM 做时序逻辑;抽取视频中关键 K 帧输入 CNN 得到图片特征,再输入 LSTM&…...