了解证书透明度监控如何帮助您监控为您的域预配的 SSL 证书。
概述
主流浏览器通过 SSL 证书来信任网站。SSL 证书有助于证明网站身份,并在客户端或浏览器发送内容之前确保连接安全。
当证书颁发机构颁发证书时,它们会在公共的证书透明度 (CT) 日志中保留颁发记录。CT 日志是由 Cloudflare 和 Google 等组织管理的大型数据库,联合记录所有有效的证书。每当 CT 日志中识别到您的域名时,Cloudflare 证书透明度监控功能会通过电子邮件发出警报。因此,CT 监控功能会在每次针对您的域名创建 SSL 证书时通知您,并且允许您确认新 SSL 证书的合法性。
启用证书透明度警报
警报默认为关闭,但可以通过 Cloudflare SSL/TLS 应用中的证书透明度监控来启用。Free 和 Pro 域名的警报都限制为每周 10 个,发送到共享帐户访问中定义的所有 Cloudflare 帐户成员。Business 和 Enterprise 域名可以配置最多 10 个用于接收 CT 警报的电子邮件地址。电子邮件地址不需要关联 Cloudflare 帐户,警报数目限制为每周 200 个。
若要禁用 Free 和 Pro 域名的 CT 警报,请将 Cloudflare 仪表板SSL/TLS 应用中的证书透明度监控设为关。对于 Business 和 Enterprise 域名,请删除证书透明度监控功能中配置的所有电子邮件地址。
针对恶意 SSL 证书采取措施
大多数证书警报属于例行性质。例如,证书到期并且必须重新颁发。如果电子邮件中列出了您的域名且附有可识别的所有权和证书信息,您无需采取任何措施。
不过,发生以下任意情形时需要采取措施:
- 您不认识证书颁发机构。
- 您发现在收到 CT 警报的前后,您的网站出现了问题。
恶意活动可能难以识别,因此要保持警惕。发现问题时按照以下建议操作:
只有证书颁发机构有权撤销恶意证书。如果认为针对您的域名颁发了错误的证书,请联系警报电子邮件中列为颁发机构的证书颁发机构。下方列出了若干主要证书颁发机构的联系链接:
- DigiCert:https://www.digicert.com/support/#Contact
- GlobalSign: https://www.globalsign.com/en/company/contact/support/
- GoDaddy:https://www.godaddy.com/contact-us?sp_hp=B
- IdenTrust:https://www.identrust.com/support/support-team
- Let’s Encryp:https://letsencrypt.org/contact/
- Sectigo:https://sectigo.com/support
域名注册机构可以暂停有恶意嫌疑的域名。例如,如果您发现通过 GoDaddy 注册的恶意域名,联系 GoDaddy 支持团队来获取协助。
可以通过多种其他方式来缓解恶意证书问题。您可以通过网站通知来提醒您的访问者,通过联系浏览器厂商(Chrome 为 Google,Safari 为 Apple,等等)将域名列入黑名单,或者您可以联系 Cloudflare 支持部门。