Zum Hauptinhalt springen

3. Log Format and Operation (Log-Format und -Betrieb)

3. Log Format and Operation (Log-Format und -Betrieb)

Jeder kann Zertifikate zu Certificate Logs (Zertifikatslogs) zur öffentlichen Prüfung einreichen; da Zertifikate von TLS-Clients jedoch nicht akzeptiert werden, wenn sie nicht geloggt sind, wird erwartet, dass Zertifikatsinhaber oder ihre CAs sie üblicherweise einreichen. Ein Log ist ein einzelner, ständig wachsender, nur anhängender Merkle Tree solcher Zertifikate.

Wird ein gültiges Zertifikat an ein Log übermittelt, MUSS das Log sofort einen Signed Certificate Timestamp (SCT) (signierten Zertifikatszeitstempel) zurückgeben. Der SCT ist die Zusage des Logs, das Zertifikat innerhalb einer festen Frist, des Maximum Merge Delay (MMD) (maximalen Zusammenführungsverzugs), in den Merkle Tree aufzunehmen. Hat das Log das Zertifikat zuvor gesehen, KANN es denselben SCT wie zuvor zurückgeben. TLS-Server MÜSSEN dem TLS-Client zusammen mit dem Zertifikat einen SCT von einem oder mehreren Logs präsentieren. TLS-Clients MÜSSEN Zertifikate ohne gültigen SCT für das End-Entity-Zertifikat ablehnen.

Periodisch hängt jedes Log alle neuen Einträge an den Merkle Tree an und signiert die Wurzel des Baums. Prüfer können so verifizieren, dass jedes Zertifikat, für das ein SCT ausgestellt wurde, tatsächlich im Log erscheint. Das Log MUSS ein Zertifikat innerhalb der Maximum-Merge-Delay-Frist nach Ausstellung des SCT in seinen Merkle Tree aufnehmen.

Log-Betreiber DÜRFEN KEINE Bedingungen für den Abruf oder die Weitergabe von Log-Daten stellen.

Letztes Update am