了解证书透明度监控

了解证书透明度监控如何帮助您监控为您的域预配的 SSL 证书。


概述

主流浏览器通过 SSL 证书来信任网站。SSL 证书有助于证明网站身份,并在客户端或浏览器发送内容之前确保连接安全。

当证书颁发机构颁发证书时,它们会在公共的证书透明度 (CT) 日志中保留颁发记录。CT 日志是由 Cloudflare 和 Google 等组织管理的大型数据库,联合记录所有有效的证书。每当 CT 日志中识别到您的域名时,Cloudflare 证书透明度监控功能会通过电子邮件发出警报。因此,CT 监控功能会在每次针对您的域名创建 SSL 证书时通知您,并且允许您确认新 SSL 证书的合法性。

CT 监控功能不会检测网络钓鱼行为。例如,对于 cloudflare.com,针对 cloudf1are.com 或 cloud-flare.com 颁发的证书不会触发警报。

启用证书透明度警报

警报默认为关闭,但可以通过 Cloudflare SSL/TLS 应用中的证书透明度监控来启用。Free 和 Pro 域名的警报都限制为每周 10 个,发送到共享帐户访问中定义的所有 Cloudflare 帐户成员。Business 和 Enterprise 域名可以配置最多 10 个用于接收 CT 警报的电子邮件地址。电子邮件地址不需要关联 Cloudflare 帐户,警报数目限制为每周 200 个。

警报数量限制按照证书来计算,而不是发送的电子邮件数目。例如,发送给 5 个收件人的 www.example.com 的警报计算为 1 个警报。
通过设置电子邮件别名可以向 10 人以上发送电子邮件,例如:ct-alerts@yourcompany.com

若要禁用 Free 和 Pro 域名的 CT 警报,请将 Cloudflare 仪表板SSL/TLS 应用中的证书透明度监控设为。对于 Business 和 Enterprise 域名,请删除证书透明度监控功能中配置的所有电子邮件地址。


针对恶意 SSL 证书采取措施

大多数证书警报属于例行性质。例如,证书到期并且必须重新颁发。如果电子邮件中列出了您的域名且附有可识别的所有权和证书信息,您无需采取任何措施。

不过,发生以下任意情形时需要采取措施:

  • 您不认识证书颁发机构。
  • 您发现在收到 CT 警报的前后,您的网站出现了问题。

恶意活动可能难以识别,因此要保持警惕。发现问题时按照以下建议操作:


相关资源

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持