TWI650990B - 憑證透明度監督系統及其方法 - Google Patents
憑證透明度監督系統及其方法 Download PDFInfo
- Publication number
- TWI650990B TWI650990B TW106145279A TW106145279A TWI650990B TW I650990 B TWI650990 B TW I650990B TW 106145279 A TW106145279 A TW 106145279A TW 106145279 A TW106145279 A TW 106145279A TW I650990 B TWI650990 B TW I650990B
- Authority
- TW
- Taiwan
- Prior art keywords
- voucher
- transparency
- credential
- log
- information
- Prior art date
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本發明為一種憑證透明度監督系統及其方法,其主要提出一個憑證透明度介接平台,可根據憑證透明度日誌之狀態資訊以及驗證資訊之變更,以達到憑證生命周期管理,其中,透過定期偵測各憑證透明度日誌,以及提供憑證串列及簽署後憑證時間戳記之一致性的管理及分享機制,藉此避免因傳輸層安全協議網頁伺服器及其客戶端平台無限制分享相關資訊,進而導致憑證透明度日誌視野不一致所形成的參與式攻擊。
Description
本發明係關於憑證透明度(Certificate Transparency,CT)提升與監督機制,詳而言之,係關於一種憑證透明度監督系統及其方法。
目前在網路公開金鑰基礎建設(Web Public Key Infrastructure,Web PKI)背景下,憑證中心是信賴的核心單位。為建立HTTPS連結已完成傳輸層安全協議交握(Transport Layer Security Handshake,TLS Handshake),其簽署後所發行的憑證被用來認證憑證主體所代表之傳輸層安全協議(Transport Layer Security,TLS)網頁伺服器。各瀏覽器廠商也具相當影響力且需要被信任,因為各個TLS元件需要安全地傳遞資訊。隨著各類嚴重資安攻擊手法持續演進,除了會攻擊網路安全協定本身之外,還會利用PKI架構下信賴機制的漏洞,造成了許多嚴重資安事件,如憑證中心(CA)被攻擊後導致誤發行安全通訊協定(Secure Sockets Layer,SSL)憑證事件頻傳。
由於現行Web PKI多數方案都存在各種安全議題,因
而導致至今仍無法被普遍採用,且以憑證為基礎的威脅無論在數量上或嚴重性上都日漸增加。對此,Google為了避免誤發憑證的資安事件持續發生,建立了一套機制稱為憑證透明度,其它方面,憑證中心與瀏覽器論壇(CA/Browser Forum)亦強調憑證透明度的重要性,希望藉此有效避免偽造憑證所帶來的損害,也就是說,憑證提供者發佈的憑證將會是透明且可供公開驗證。憑證透明度系統架構是用來公開監控和稽核數位憑證的一種網際網路工程任務小組(Internet Engineering Task Force,IETF)開放標準及框架,現階段以EV SSL憑證為優先目標,後續階段將會陸續延伸到其它種類之SSL憑證,其目標為用來制止、偵測以及促進修正對於Web PKI的各種安全攻擊,如避免憑證誤發行之情況。
現行憑證透明度系統架構下主要元件為憑證透明度日誌,其使用梅克爾雜湊樹(Merkle Hash Tree,MHT)資料結構去記錄資訊,主要特性在於其具有只能添加的資料結構屬性,也因此不同憑證透明度日誌使用者存取日誌服務時,會觀察到MHT是一個不斷增長的狀態,一個憑證透明度日誌也因此會提供不同的日誌視野給不同客戶,於極端情況下,甚至可能每一個客戶分別會看到一個唯一的憑證透明度日誌視野,當一個憑證透明度日誌提供不同的日誌視野給不同的客戶會形成參與式攻擊的目標,並且其它延伸攻擊也容易相應而生,再者,對於日誌使用者而言,無法即時判斷日誌行為是否有異常以及其是否為合法日誌,
也極有可能造成Web PKI信賴模型失效。
對於特定憑證記錄於憑證透明度日誌所取得的證明,其主要是回傳簽署後憑證時間戳記(Signed Certificate Timestamp,SCT)給提交者。SCT為憑證在規範時間內會被寫入憑證透明度日誌的證明,也就是說,憑證透明度日誌將無法否認已將此SCT相對應的合法憑證寫入其MHT中。對於SSL憑證申請者(例如TLS網頁伺服器)而言,如何在不改變其既有組態的情況下,而能夠透過合法的傳輸機制取得SCT是困難的,另外,由於SCT是一個驗證資訊需要被一致性地分享,如何有效分享而不會洩漏憑證主體網站的隱私資訊也是一種潛在威脅。由於憑證透明度日誌是任何人都可以請求服務的,因此有可能SCT的分享是由TLS網頁伺服器或者TLS客戶自行取得後加以共享,然這些角色皆有可能成為網路攻擊的目標,此將導致憑證透明度系統架構失效,所分享的資料如何分析驗證也難以進行,因而產生的憑證透明度日誌視野不一致的問題也會導致分享失效。
由上可知,若能找出一種提升憑證透明度系統架構以及相關監督機制,特別是,避免介接行為異常之憑證透明度日誌,以及避免憑證透明度日誌視野不一致所導致問題,實為目前本技術領域人員急迫解決之技術問題。
本發明之目的係提出一種加強憑證透明度之監督系統與方法,其對現行憑證透明度系統架構進行改良,重點
在於針對監督者及稽核者元件進行設計,藉由偵測機制以避免行為異常之憑證透明度日誌影響整體系統架構,且本發明可在不造成TLS網頁伺服器以及TLS客戶端平台額外組態之負擔下,完成憑證透明度回傳資訊之一致性共享。
本發明係提出憑證透明度監督系統,包括:憑證中心模組、線上憑證狀態查詢協定裝訂模組、監督模組以及稽核模組。憑證中心模組用於接收來自TLS網頁伺服器之SSL憑證服務申請封包,以於執行該SSL憑證服務申請封包之憑證申請流程後,回傳SSL憑證至該TLS網頁伺服器及產生包括憑證串列資訊之憑證紀錄申請封包。線上憑證狀態查詢協定裝訂模組用於接收來自該TLS網頁伺服器之線上憑證狀態查詢服務申請封包,以於查詢待查憑證之狀態後,回傳查詢後之狀態結果至該TLS網頁伺服器。監督模組用於接收來自該憑證中心模組之該憑證紀錄申請封包,並依據該憑證紀錄申請封包,存取憑證透明度日誌詮釋資料庫以介接複數個憑證透明度日誌,俾於識別各該複數個憑證透明度日誌之合法性及日誌行為狀態後,取得憑證透明度日誌介接回傳資訊,以將該憑證透明度日誌介接回傳資訊及該憑證串列資訊寫入憑證透明度日誌介接資料庫。稽核模組透過該憑證透明度日誌介接資料庫,針對不同憑證透明度狀態資訊採取不同的處理機制,取得正常運作之各該複數個憑證透明度日誌的SCT封包,該稽核模組並用於以憑證透明度標準格式驗證該SCT封包之正確性,及確認該憑證串列資訊與該SCT封包之一致性。
本發明復提出一種憑證透明度監督方法,其包括:接收來自TLS網頁伺服器之SSL憑證服務申請封包;執行該SSL憑證服務申請封包之憑證申請流程後,回傳SSL憑證至該TLS網頁伺服器,及產生包括憑證串列資訊之憑證紀錄申請封包;依據該憑證紀錄申請封包,存取憑證透明度日誌詮釋資料庫以介接複數個憑證透明度日誌;識別各該複數個憑證透明度日誌之合法性及日誌行為狀態以取得憑證透明度日誌介接回傳資訊;將該憑證透明度日誌介接回傳資訊及該憑證串列資訊寫入憑證透明度日誌介接資料庫;透過該憑證透明度日誌介接資料庫,針對不同憑證透明度狀態資訊採取不同的處理機制,取得正常運作之各該複數個憑證透明度日誌的SCT封包;以及以憑證透明度標準格式驗證該SCT封包之正確性,及確認該憑證串列資訊與該SCT封包之一致性。
相較於現有技術,本發明所提出之憑證透明度監督系統及其方法,可偵測各憑證透明度日誌,以避免介接行為異常之憑證透明度日誌,並可針對偵測結果調整工作流。再者,本發明提供憑證透明度日誌回傳資訊之一致性分享,且傳輸機制符合動態提交之特性,可避免憑證透明度日誌視野不一致所造成的攻擊模式。另外,本發明無須改變安全通訊協定(SSL)憑證服務申請流程的既有工作流,針對傳輸層安全協議交握(TLS Handshake)部分,不會額外增加TLS網頁伺服器及TLS客戶端平台組態負擔,且可有效地解決各種憑證透明度威脅模型描述之攻擊模式。
1‧‧‧憑證透明度監督系統
11‧‧‧憑證中心模組
12‧‧‧線上憑證狀態查詢協定裝訂模組
13‧‧‧監督模組
14‧‧‧稽核模組
21‧‧‧TLS客戶端瀏覽器
22‧‧‧TLS網頁伺服器
23‧‧‧網域名稱伺服器
24‧‧‧代理伺服器
3‧‧‧憑證透明度日誌
41‧‧‧憑證中心資料庫
42‧‧‧憑證透明度日誌詮釋資料庫
43‧‧‧憑證透明度日誌介接資料庫
S31~S37‧‧‧步驟
S41~S49‧‧‧流程
第1圖係本發明之憑證透明度監督系統的系統架構圖;第2圖係本發明之憑證透明度監督系統具體實施例的系統架構圖;第3圖係本發明之憑證透明度監督方法的步驟圖;以及第4圖係本發明之憑證透明度監督方法具體實施的流程圖。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其它不同的具體實施形態加以施行或應用。
請參照第1圖,其為本發明之憑證透明度監督系統的系統架構圖。本發明之憑證透明度監督系統為基於憑證透明度日誌之狀態資訊以及驗證資訊之變更實施,以強化憑證透明度系統架構的系統,在本實施例中,憑證透明度監督系統1所接收的憑證服務申請之憑證格式鎖定於Web PKI背景下之安全通訊協定(SSL)憑證,特別是延伸驗證(Extended Validation,EV)SSL憑證。
如圖所示,本發明之憑證透明度監督系統1包括憑證中心模組11、線上憑證狀態查詢協定裝訂模組12、監督模組13以及稽核模組14。
憑證中心模組11用於接收來自TLS網頁伺服器之SSL憑證服務申請封包,以於執行該SSL憑證服務申請封包之憑證申請流程後,回傳SSL憑證至該TLS網頁伺服器及產生包括憑證串列資訊之憑證紀錄申請封包。
憑證中心模組11係與線上憑證狀態查詢協定裝訂模組12和監督模組13通訊連結,其可接收TLS網頁伺服器所提交之SSL憑證服務申請,主要功能包含憑證申請、憑證廢止、憑證展期、憑證變更等。當憑證服務處理流程執行後,若符合申請,則會回傳SSL憑證至該TLS網頁伺服器,其中,該SSL憑證可為EV SSL憑證。另外,憑證服務處理流程執行後,還會產生包括憑證串列資訊之憑證紀錄申請封包並被提交至監督模組13。
於一實施例中,SSL憑證以非同步方式回傳至TLS網頁伺服器。由於本系統支援非同步設計模式,因而憑證服務處理流程執行完畢時,將立即回傳給TLS網頁伺服器。
線上憑證狀態查詢協定裝訂模組12用於接收來自該TLS網頁伺服器之線上憑證狀態查詢服務申請封包,以於查詢待查憑證之狀態後,回傳至該TLS網頁伺服器。
線上憑證狀態查詢協定裝訂模組12係與憑證中心模組11以及稽核模組14通訊連結,其可接收TLS網頁伺服器所提交之線上憑證狀態查詢服務申請封包,解析申請封包的內容,查詢待查憑證的狀態並回覆。線上憑證狀態查詢協定裝訂模組12更提供裝訂功能,將可滿足動態回應的效果,並且可使TLS網頁伺服器無需額外組態以自行介接
憑證透明度日誌。
另外,除了一般線上憑證狀態查詢協定標準封包以外,所有憑證透明度日誌回傳之驗證封包也由線上憑證狀態查詢協定裝訂模組12進行封裝以通過瀏覽器驗證,此後TLS客戶將可連結至TLS網頁伺服器確認其憑證透明度之符合程度。
監督模組13用於接收來自該憑證中心模組11之該憑證紀錄申請封包,該監督模組13依據該憑證紀錄申請封包,存取憑證透明度日誌詮釋資料庫以介接複數個憑證透明度日誌,俾於識別各該複數個憑證透明度日誌之合法性及日誌行為狀態後,取得憑證透明度日誌介接回傳資訊,以將該憑證透明度日誌介接回傳資訊及該憑證串列資訊寫入憑證透明度日誌介接資料庫。
前述之憑證透明度日誌介接回傳資訊可包括各憑證透明度日誌之日誌狀態資訊、憑證記錄驗證資訊。
監督模組13係與憑證中心模組11以及稽核模組14通訊連結,其接收憑證中心模組11所提交之憑證紀錄申請封包,針對各主要憑證透明度日誌進行介接,送出憑證紀錄申請前會主動偵測各憑證透明度日誌之狀態,並將其狀態值資訊進行紀錄,以利後續判別是否行為異常。之後,還會向運作行為正常且合法之憑證透明度日誌送出憑證紀錄申請,並分別接收SCT,此SCT為憑證在規範時間內會被寫入憑證透明度日誌的證明。由於SCT封包不包含狀態資訊,因此,需經由監督模組13之設計方能取得狀態值資
訊以進行後續分析及處理。
於一實施例中,監督模組13於介接各憑證透明度日誌時,係將憑證串列資訊以不同執行緒提交至各憑證透明度日誌。
稽核模組14係透過該憑證透明度日誌介接資料庫,針對不同憑證透明度狀態資訊採取不同的處理機制,取得正常運作之各該複數個憑證透明度日誌的SCT封包,該稽核模組14用於以憑證透明度標準格式驗證該SCT封包之正確性,及確認該憑證串列資訊與該SCT封包之一致性。
稽核模組14係與線上憑證狀態查詢協定裝訂模組12以及監督模組13通訊連結,其存取由監督模組13寫入之憑證透明度日誌介接回傳資訊並加以回應,針對不同憑證透明度狀態資訊採取不同的處理方式,如排程化定期重送憑證紀錄申請、黑名單化行為異常之憑證透明度日誌、轉換連結網域等。對於SCT的一致性分享係由稽核模組14負責,並對其結構及內容進行驗證,以避免由其它憑證透明度系統架構下之角色各自分享驗證資訊,引發因憑證透明度日誌視野不一致所造成的攻擊事件。當憑證串列與SCT之間的綁定確認無誤後,將通知線上憑證狀態查詢協定裝訂模組12,以動態提供TLS網頁伺服器查詢其憑證狀態以及憑證透明度之符合程度。
另外,稽核模組14於憑證串列資訊與SCT封包具一致性下產生綁定資訊,線上憑證狀態查詢協定裝訂模組12可依據綁定資訊,將SCT封包內的資訊封裝至一般線上憑
證狀態查詢協定封包,如此可於線上憑證狀態查詢協定裝訂模組12收到TLS網頁伺服器之線上憑證狀態查詢服務申請封包後,以線上憑證狀態查詢協定回應封包回覆該線上憑證狀態查詢服務申請。
透過上述模組,本發明之憑證透明度監督系統1可以定期偵測各憑證透明度日誌,以及提供憑證串列及SCT之一致性管理及分享機制,並且提供SSL憑證申請者完整憑證生命周期管理服務,故可達到避免因憑證透明度日誌視野不一致而造成攻擊事件。
請參照第2圖,其為本發明之憑證透明度監督系統具體實施例的系統架構圖。如圖所示,憑證透明度監督系統1之憑證中心模組11、線上憑證狀態查詢協定裝訂模組12、監督模組13以及稽核模組14與第1圖所述相同,於本實施例中,將搭配系統周邊設備,例如TLS交握(Handshake)端、不同功能資料庫以及存放憑證紀錄之(複數個)憑證透明度日誌3等,以完整說明本系統之運作。
如圖所示,TLS交握(Handshake)端可包括TLS客戶端瀏覽器21、TLS網頁伺服器22、網域名稱伺服器23及代理伺服器24,特定資料結構之憑證紀錄資訊存放於(複數個)憑證透明度日誌3內,這裡以憑證透明度日誌3來繪製,另外,基於不同功能,本實施例更包括憑證中心資料庫41、憑證透明度日誌詮釋資料庫42及憑證透明度日誌介接資料庫43。
TLS客戶端瀏覽器21連結至TLS網頁伺服器22以及
網域名稱伺服器23,網域名稱伺服器23與TLS網頁伺服器22連結,而TLS網頁伺服器22連結至代理伺服器24。憑證中心資料庫41連結至憑證中心模組11,另外,(複數個)憑證透明度日誌3、憑證透明度日誌詮釋資料庫42及憑證透明度日誌介接資料庫43與監督模組13連結,而憑證透明度日誌介接資料庫43亦與稽核模組14連結。
TLS客戶操作TLS客戶端瀏覽器21透過網域名稱伺服器23存取TLS網頁伺服器22,TLS網頁伺服器22透過代理伺服器24連結至憑證透明度監督系統1,其中,TLS網頁伺服器22支援線上憑證狀態查詢協定裝訂。TLS客戶想確認目標TLS網頁伺服器22所設定的憑證是否有通過憑證透明度認證,由於預設SSL憑證沒有支援,因此需向憑證中心模組11送出EV SSL憑證申請,其中,EV SSL憑證為目前SSL憑證中驗證流程最嚴謹之憑證種類,故發行之憑證中心需經過WebTrust相關認證。
鑒於要通過瀏覽器認證需與憑證透明度日誌3介接以取得驗證資訊,並且信賴的根憑證需要由憑證中心向各憑證透明度日誌3分別提交驗證申請。故一般來說,TLS網頁伺服器22無法主動提交,如果要自行提交,也需經過繁雜組態設定流程才能送出,再者,因提交方式具不支援動態傳輸之特性,故對驗證資訊之分享則會因憑證透明度日誌3視野不一致而產生問題。
憑證中心模組11連結至憑證中心資料庫41,其收到TLS網頁伺服器22送出之SSL憑證服務申請封包後,剖
析其服務申請內容,如憑證申請、憑證廢止、憑證展期、憑證變更。之後,在判斷為EV SSL憑證申請封包,此時憑證中心模組11啟用憑證申請流程,並將憑證紀錄申請封包提交至監督模組13。
EV SSL憑證對於辨識憑證申請者之程序以及簽發與管理憑證內容之規範,皆需滿足WebTrust相關認證程序。當憑證申請流程執行完畢,由於執行於非同步執行緒,因而可立即回傳所申請之EV SSL憑證給TLS網頁伺服器22。
由於憑證透明度日誌3是公開讓所有人存取的,但其目前行為是否有異常以及其是否為合法日誌,對於一般憑證透明度日誌3存取端來說無法即時確認。監督模組13存取憑證透明度日誌詮釋資料庫42後,取得日誌存取資訊,主動偵測各憑證透明度日誌3之狀態,分析目標憑證透明度日誌3是否運作行為正常且為合法日誌,判斷其狀態後將狀態資訊存入憑證透明度日誌介接資料庫43。
針對運作行為正常且合法的憑證透明度日誌3,監督模組13將憑證紀錄申請封包涵蓋之憑證串列提交至各憑證透明度日誌3,由於不同憑證透明度日誌3分別有不同的介面以及狀態,因此個別憑證透明度日誌3之存取分別以不同執行緒執行以避免互相干擾,當憑證透明度日誌3驗證憑證串列無誤後,會在特定規範時間內將憑證記錄於其梅克爾雜湊樹(MHT)後回傳SCT封包。
當監督模組13收到回傳的SCT封包後,將相關憑證
串列資訊、日誌狀態資訊及驗證資訊寫入憑證透明度日誌介接資料庫43。由於SCT封包不包含狀態資訊,因而需由監督模組13將取得之狀態值資訊一併記錄方可進行後續分析,針對不同狀態資訊以及分析結果將分別寫入憑證透明度日誌介接資料庫43,以供後續處理。
稽核模組14存取憑證透明度日誌介接資料庫43,由於憑證透明度日誌3有可能進行各種轉換作業,也有可能失效或者被攻擊破解,因此當確認原因後將採取不同回應機制,如排程化定期重送憑證紀錄申請、黑名單化行為異常之憑證透明度日誌、轉換連結網域等,目標在於從各運作行為正常的憑證透明度日誌3正確取得SCT封包,稽核模組14與監督模組13合作,定期排程監控憑證透明度日誌3的狀態無誤,以採取合適的處置方式,目前Web PKI背景下並沒有其它類似模組提供相關服務。
對於SCT的一致性分享由稽核模組14負責,並對其結構及內容進行驗證,格式需符合憑證透明度標準格式之驗證,當避免任由不同憑證透明度角色各自分享所造成的憑證透明度日誌3視野不一致問題以及延伸的攻擊模式。當憑證串列與SCT之綁定確認無誤,將通知線上憑證狀態查詢協定裝訂模組12進行後續封裝作業。
線上憑證狀態查詢協定裝訂模組12接受TLS網頁伺服器22透過代理伺服器24所提交之線上憑證狀態查詢服務申請封包,解析申請封包的內容,查詢待查EV SSL憑證的狀態並回覆。支援線上憑證狀態查詢協定裝訂,可於
憑證透明度日誌3有問題時,憑證中心模組11不用額外重新簽發一張EV SSL憑證,並且TLS網頁伺服器22也無需額外繁雜的組態設定,對於既有憑證服務處理流程也無需更動。提供裝訂功能將可滿足動態回應的效果,除了原本線上憑證狀態查詢協定標準封包以外,憑證透明度日誌3回傳之SCT資訊也由線上憑證狀態查詢協定裝訂模組12進行封裝,封裝格式需通過瀏覽器驗證,如此TLS客戶即可透過操作TLS客戶端瀏覽器21確認目標TLS網頁伺服器22之憑證透明度符合程度。
請參照第3圖,其為本發明之憑證透明度監督方法的步驟圖。如圖所示,於步驟S31中,係接收來自TLS網頁伺服器之SSL憑證服務申請封包。
於步驟S32中,係執行該SSL憑證服務申請封包之憑證申請流程後,回傳SSL憑證至該TLS網頁伺服器,及產生包括憑證串列資訊之憑證紀錄申請封包。其中,該SSL憑證可為EV SSL憑證,上述之EV SSL憑證,係以非同步方式回傳至TLS網頁伺服器。
於步驟S33中,係依據該憑證紀錄申請封包,存取憑證透明度日誌詮釋資料庫以介接複數個憑證透明度日誌。於本步驟中,於介接複數個憑證透明度日誌時,憑證串列資訊以不同執行緒提交至複數個憑證透明度日誌。
於步驟S34中,係識別各該複數個憑證透明度日誌之合法性及日誌行為狀態以取得憑證透明度日誌介接回傳資訊。
於步驟S35中,係將該憑證透明度日誌介接回傳資訊及該憑證串列資訊寫入憑證透明度日誌介接資料庫。其中,該憑證透明度日誌介接回傳資訊包括各複數個憑證透明度日誌之日誌狀態資訊、憑證記錄驗證資訊。
於步驟S36中,係透過該憑證透明度日誌介接資料庫,針對不同憑證透明度狀態資訊採取不同的處理機制,取得正常運作之各該複數個憑證透明度日誌的SCT封包。
於步驟S37中,係以憑證透明度標準格式驗證該SCT封包之正確性,及確認該憑證串列資訊與該SCT封包之一致性。於本步驟中,於憑證串列資訊與SCT封包具一致性時產生綁定資訊,藉由綁定資訊,可將SCT封包內的資訊封裝至一般線上憑證狀態查詢協定封包,藉以回應來自TLS網頁伺服器所發出之線上憑證狀態查詢服務申請。
請參照第4圖,其為本發明之憑證透明度監督方法具體實施的流程圖。本發明所述之憑證透明度監督方法,可用於主動偵測各憑證透明度日誌,以及提供憑證串列及SCT之一致性管理及分享機制,藉此避免TLS網頁伺服器及TLS客戶無限制分享相關資訊,而造成由於憑證透明度日誌視野不一致而形成之參與式攻擊。下面將以具體實施例並配合第2圖所述組件一併說明。
於流程S41中,係請求憑證服務。TLS客戶存取TLS網頁伺服器時發現瀏覽器狀態沒有顯示憑證透明度資訊,由於目前要求EV SSL憑證需符合憑證透明度驗證,且TLS網頁伺服器無法不經組態自行提交,因此,TLS網頁伺服
器向信賴的憑證中心送出EV SSL憑證申請封包。
於流程S42中,係剖析憑證服務請求封包。憑證中心模組將收到之SSL憑證服務申請封包進行剖析,辨別所請求的憑證服務種類,執行過程將連結至憑證中心資料庫。於本流程中,在判斷為EV SSL憑證申請後,可啟用憑證簽發流程,並將憑證紀錄申請封包提交至監督模組。
於流程S43中,係回覆憑證服務請求。由於憑證簽發以及憑證紀錄申請流程採取非同步機制處理,當憑證中心模組核發流程執行完畢後,直接將新簽發的EV SSL憑證回傳給TLS網頁伺服器。
於流程S44中,係偵測憑證透明度日誌。為了要辨別各憑證透明度日誌之合法性以及日誌行為狀態,監督模組存取憑證透明度日誌詮釋資料庫以介接各憑證透明度日誌,判斷其狀態後,將狀態資訊存入憑證透明度日誌介接資料庫。
於流程S45中,係請求憑證透明度日誌服務。針對運作行為正常且合法的憑證透明度日誌,監督模組將憑證紀錄申請封包涵蓋之憑證串列提交至各憑證透明度日誌,個別憑證透明度日誌之存取分別以不同執行緒執行。
於流程S46中,係分析憑證透明度日誌回傳封包。當憑證透明度日誌在規範時間內記錄憑證並回傳SCT封包後,監督模組將相關憑證串列資訊、日誌狀態資訊及驗證資訊寫入憑證透明度日誌介接資料庫,針對不同狀態資訊以及分析結果分別寫入。
於流程S47中,係啟用憑證透明度日誌狀態回應機制。由於憑證透明度日誌有可能進行各種變更,也有可能失效或者被攻擊破解,稽核模組確認憑證透明度日誌狀態資訊後將採取不同回應機制,目標在於從各運作行為正常的憑證透明度日誌正確取得SCT封包。
於流程S48中,係分享SCT。稽核模組針對SCT結構及內容進行驗證,需通過憑證透明度標準格式之驗證,使憑證串列與SCT之間正常綁定。此一致性共享模式可避免因憑證透明度日誌視野不一致而造成攻擊事件。
於流程S49中,係啟用線上憑證狀態查詢協定裝訂。經流程S48後,線上憑證狀態查詢協定裝訂模組可接受TLS網頁伺服器所提交之線上憑證狀態查詢服務申請封包,SCT資訊由線上憑證狀態查詢協定裝訂模組進行封裝至一般線上憑證狀態查詢協定封包之中,支援裝訂功能將可滿足動態回應的效果,此時TLS客戶可存取TLS網頁伺服器,經由瀏覽器驗證資訊顯示該TLS網頁伺服器之憑證透明度符合狀態。
綜上所述,本發明之憑證透明度監督系統及其方法,可透過監督機制偵測各憑證透明度日誌,藉此避免介接行為異常之憑證透明度日誌並可針對偵測結果調整工作流。另外,透過憑證透明度日誌回傳資訊之一致性分享,且傳輸機制符合動態提交之特性,可避免憑證透明度日誌視野不一致所造成的攻擊模式。另外,本發明無須改變SSL憑證服務申請流程的既有工作流,也不會額外增加TLS網頁
伺服器及TLS客戶端平台組態負擔,即可有效地解決各種憑證透明度威脅模型描述之攻擊模式。
上述實施形態僅例示性說明本發明之原理及其功效,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。因此,本發明之權利保護範圍,應如後述之申請專利範圍所列。
Claims (10)
- 一種憑證透明度監督系統,包括:憑證中心模組,係用於接收來自傳輸層安全協議(TLS)網頁伺服器之安全通訊協定(SSL)憑證服務申請封包,以於執行該SSL憑證服務申請封包之憑證申請流程後,回傳SSL憑證至該TLS網頁伺服器及產生包括憑證串列資訊之憑證紀錄申請封包;線上憑證狀態查詢協定裝訂模組,係用於接收來自該TLS網頁伺服器之線上憑證狀態查詢服務申請封包,以於查詢待查憑證之狀態後,回傳查詢後之狀態結果至該TLS網頁伺服器;監督模組,係用於接收來自該憑證中心模組之該憑證紀錄申請封包,並依據該憑證紀錄申請封包,存取憑證透明度日誌詮釋資料庫以介接複數個憑證透明度日誌,俾於識別各該複數個憑證透明度日誌之合法性及日誌行為狀態後,取得憑證透明度日誌介接回傳資訊,以將該憑證透明度日誌介接回傳資訊及該憑證串列資訊寫入憑證透明度日誌介接資料庫;以及稽核模組,係透過該憑證透明度日誌介接資料庫,針對不同憑證透明度狀態資訊採取不同的處理機制,取得正常運作之各該複數個憑證透明度日誌的憑證時間戳記(SCT)封包,該稽核模組並用於以憑證透明度標準格式驗證該SCT封包之正確性,及確 認該憑證串列資訊與該SCT封包之一致性。
- 如申請專利範圍第1項所述之憑證透明度監督系統,其中,該SSL憑證以非同步方式回傳至該TLS網頁伺服器。
- 如申請專利範圍第1項所述之憑證透明度監督系統,其中,該監督模組於介接該複數個憑證透明度日誌時,係將該憑證串列資訊以不同執行緒提交至該複數個憑證透明度日誌。
- 如申請專利範圍第1項所述之憑證透明度監督系統,其中,該憑證透明度日誌介接回傳資訊包括各該複數個憑證透明度日誌之日誌狀態資訊、憑證記錄驗證資訊。
- 如申請專利範圍第1項所述之憑證透明度監督系統,其中,該稽核模組於該憑證串列資訊與該SCT封包具一致性下產生綁定資訊,以供該線上憑證狀態查詢協定裝訂模組依據該綁定資訊,將該SCT封包內的資訊封裝至一般線上憑證狀態查詢協定封包,藉此回應來自該TLS網頁伺服器之線上憑證狀態查詢服務申請。
- 一種憑證透明度監督方法,其包括:接收來自傳輸層安全協議(TLS)網頁伺服器之安全通訊協定(SSL)憑證服務申請封包;執行該SSL憑證服務申請封包之憑證申請流程後,回傳SSL憑證至該TLS網頁伺服器,及產生包 括憑證串列資訊之憑證紀錄申請封包;依據該憑證紀錄申請封包,存取憑證透明度日誌詮釋資料庫以介接複數個憑證透明度日誌;識別各該複數個憑證透明度日誌之合法性及日誌行為狀態以取得憑證透明度日誌介接回傳資訊;將該憑證透明度日誌介接回傳資訊及該憑證串列資訊寫入憑證透明度日誌介接資料庫;透過該憑證透明度日誌介接資料庫,針對不同憑證透明度狀態資訊採取不同的處理機制,取得正常運作之各該複數個憑證透明度日誌的憑證時間戳記(SCT)封包;以及以憑證透明度標準格式驗證該SCT封包之正確性,及確認該憑證串列資訊與該SCT封包之一致性。
- 如申請專利範圍第6項所述之憑證透明度監督方法,其中,該SSL憑證以非同步方式回傳至該TLS網頁伺服器。
- 如申請專利範圍第6項所述之憑證透明度監督方法,其中,於介接該複數個憑證透明度日誌時,該憑證串列資訊以不同執行緒提交至該複數個憑證透明度日誌。
- 如申請專利範圍第6項所述之憑證透明度監督方法,其中,該憑證透明度日誌介接回傳資訊包括各該複數個憑證透明度日誌之日誌狀態資訊、憑證記錄驗 證資訊。
- 如申請專利範圍第6項所述之憑證透明度監督方法,其中,於該憑證串列資訊與該SCT封包具一致性時產生綁定資訊,以依據該綁定資訊將該SCT封包內的資訊封裝至一般線上憑證狀態查詢協定封包,藉以回應來自該TLS網頁伺服器之線上憑證狀態查詢服務申請。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106145279A TWI650990B (zh) | 2017-12-22 | 2017-12-22 | 憑證透明度監督系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106145279A TWI650990B (zh) | 2017-12-22 | 2017-12-22 | 憑證透明度監督系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI650990B true TWI650990B (zh) | 2019-02-11 |
| TW201929479A TW201929479A (zh) | 2019-07-16 |
Family
ID=66213997
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106145279A TWI650990B (zh) | 2017-12-22 | 2017-12-22 | 憑證透明度監督系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI650990B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI786981B (zh) * | 2021-12-07 | 2022-12-11 | 中華電信股份有限公司 | 預簽憑證管理系統、方法及其電腦可讀媒介 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102483730A (zh) * | 2009-01-28 | 2012-05-30 | 海德沃特合作I有限公司 | 使用报告、同步和通知的可验证的设备协助服务使用监控 |
| US8958559B2 (en) * | 2011-06-03 | 2015-02-17 | Apple Inc. | System and method for secure instant messaging |
-
2017
- 2017-12-22 TW TW106145279A patent/TWI650990B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102483730A (zh) * | 2009-01-28 | 2012-05-30 | 海德沃特合作I有限公司 | 使用报告、同步和通知的可验证的设备协助服务使用监控 |
| US8839388B2 (en) * | 2009-01-28 | 2014-09-16 | Headwater Partners I Llc | Automated device provisioning and activation |
| US8958559B2 (en) * | 2011-06-03 | 2015-02-17 | Apple Inc. | System and method for secure instant messaging |
Non-Patent Citations (4)
| Title |
|---|
| " How Certificate Transparency Works"(網址: https://web.archive.org/web/20171220145857/http://www.certificate-transparency.org/how-ct-works ),20171220 * |
| " How Certificate Transparency Works"(網址: https://web.archive.org/web/20171220145857/http://www.certificate-transparency.org/how-ct-works ),20171220。 |
| "RFC 6962 Certificate Transparency"(網址:https://www.rfc-editor.org/info/rfc6962 ),20130630 * |
| "RFC 6962 Certificate Transparency"(網址:https://www.rfc-editor.org/info/rfc6962 ),20130630。 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI786981B (zh) * | 2021-12-07 | 2022-12-11 | 中華電信股份有限公司 | 預簽憑證管理系統、方法及其電腦可讀媒介 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201929479A (zh) | 2019-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9015845B2 (en) | Transit control for data | |
| JP5881687B2 (ja) | オープン・アプリケーション・プログラミング・インターフェースに基づくオンライン・ビジネス法、システム、並びに、装置 | |
| US8429734B2 (en) | Method for detecting DNS redirects or fraudulent local certificates for SSL sites in pharming/phishing schemes by remote validation and using a credential manager and recorded certificate attributes | |
| CN114499895B (zh) | 一种融合可信计算与区块链的数据可信处理方法及系统 | |
| US8984608B2 (en) | Image processing apparatus, image processing system, and computer-readable storage medium for generating a token value | |
| JP2018121328A (ja) | 電子デバイスのためのイベント証明書 | |
| US9325695B2 (en) | Token caching in trust chain processing | |
| US20180020008A1 (en) | Secure asynchronous communications | |
| CN103179134A (zh) | 基于Cookie的单点登录方法、系统及其应用服务器 | |
| JP5644770B2 (ja) | アクセス制御システム、サーバ、およびアクセス制御方法 | |
| CN109842616B (zh) | 账号绑定方法、装置及服务器 | |
| CN111614731B (zh) | 物联网设备接入区块链方法、系统、聚合网关及存储介质 | |
| TW201909013A (zh) | 在公開匿名環境驗證身份及保護隱私的系統與方法 | |
| CN110677407A (zh) | 轻量化区块链平台的安全控制方法 | |
| TWI650990B (zh) | 憑證透明度監督系統及其方法 | |
| KR102356725B1 (ko) | 계층 블록체인을 이용한 인증 및 정책 관리 방법 | |
| JP4052007B2 (ja) | Webサイト安全度認証システム、方法及びプログラム | |
| JP5630245B2 (ja) | 認定情報検証装置及び認定情報検証プログラム並びに認定情報検証システム及び認定情報検証方法 | |
| TWI786981B (zh) | 預簽憑證管理系統、方法及其電腦可讀媒介 | |
| CN112836186A (zh) | 一种页面控制方法及装置 | |
| Li et al. | Exploring the security of certificate transparency in the wild | |
| TW201508538A (zh) | 用於基於網頁瀏覽器網路餅乾的安全符記的擁有證明 | |
| CN114422138B (zh) | 一种域名所有者自定义验证策略的证书透明化方法和系统 | |
| US20240015028A1 (en) | Blockchain-based data detection method and apparatus, device, storage medium, and program product | |
| Berbecaru et al. | FcgiOCSP: a scalable OCSP‐based certificate validation system exploiting the FastCGI interface |