RFC 6962 - 证书透明度

• 状态: Experimental
• 发布日期: June 2013
• Stream: IETF
• 被废弃: RFC9162
• 勘误: 无勘误

---

本备忘录的状态

本文档并非互联网标准跟踪规范; 其发布目的在于供审查, 实验性实现与评估.

本文档为互联网社区定义了一种实验性协议. 本文档是互联网工程任务组 (Internet Engineering Task Force, IETF) 的成果, 代表 IETF 社区的共识. 本文档经过公开审查, 并已由互联网工程指导组 (Internet Engineering Steering Group, IESG) 批准发布. 并非所有经 IESG 批准的文档都适合作为任何级别的互联网标准候选; 参见 RFC 5741 第 2 节.

有关本文档当前状态, 勘误以及如何提供反馈的信息, 可在 http://www.rfc-editor.org/info/rfc6962 获取.

版权声明

版权所有 (c) 2013 IETF Trust 及文中所列文档作者. 保留所有权利.

本文档受 BCP 78 及 IETF 文档相关 IETF Trust 法律条款约束 (见本文档发布之日有效的 http://trustee.ietf.org/license-info). 请仔细阅读上述文档, 因其描述了您对本文档所享有的权利与限制. 从本文档摘录的代码组件必须在 Trust 法律条款第 4.e 节所述的简化 BSD 许可证文本下发布, 且不提供任何担保, 如简化 BSD 许可证所述.

摘要

本文档描述了一种实验性协议, 用于在传输层安全 (Transport Layer Security, TLS) 证书签发或被观测到时, 公开记录其存在, 从而使任何人能够审计证书颁发机构 (certificate authority, CA) 的活动, 发现可疑证书的签发, 并审计证书日志本身. 其意图是最终客户端将拒绝承认未出现在日志中的证书, 从而有效地迫使 CA 将其签发的所有证书加入日志.

日志是实现本文档所定义的提交与查询协议操作的网络服务.

目录

• 1. Informal Introduction (非正式引言)
  • 1.1. Requirements Language (要求用语)
  • 1.2. Data Structures (数据结构)
• 2. Cryptographic Components (密码学组件)
  • 2.1. Merkle Hash Trees (Merkle 散列树)
    • 2.1.1. Merkle Audit Paths (Merkle 审计路径)
    • 2.1.2. Merkle Consistency Proofs (Merkle 一致性证明)
    • 2.1.3. Example (示例)
    • 2.1.4. Signatures (签名)
• 3. Log Format and Operation (日志格式与运行)
  • 3.1. Log Entries (日志条目)
  • 3.2. Structure of the Signed Certificate Timestamp (签名证书时间戳的结构)
  • 3.3. Including the Signed Certificate Timestamp in the TLS Handshake (在 TLS 握手中包含签名证书时间戳)
    • 3.3.1. TLS Extension (TLS 扩展)
  • 3.4. Merkle Tree (Merkle 树)
  • 3.5. Signed Tree Head (签名树头)
• 4. Log Client Messages (日志客户端消息)
  • 4.1. Add Chain to Log (向日志添加证书链)
  • 4.2. Add PreCertChain to Log (向日志添加预证书链)
  • 4.3. Retrieve Latest Signed Tree Head (获取最新签名树头)
  • 4.4. Retrieve Merkle Consistency Proof between Two Signed Tree Heads (获取两个签名树头之间的 Merkle 一致性证明)
  • 4.5. Retrieve Merkle Audit Proof from Log by Leaf Hash (按叶散列从日志获取 Merkle 审计证明)
  • 4.6. Retrieve Entries from Log (从日志获取条目)
  • 4.7. Retrieve Accepted Root Certificates (获取已接受的根证书)
  • 4.8. Retrieve Entry+Merkle Audit Proof from Log (从日志获取条目及 Merkle 审计证明)
• 5. Clients (客户端)
  • 5.1. Submitters (提交者)
  • 5.2. TLS Client (TLS 客户端)
  • 5.3. Monitor (监视器)
  • 5.4. Auditor (审计者)
• 6. IANA Considerations (IANA 考量)
• 7. Security Considerations (安全考量)
  • 7.1. Misissued Certificates (错误签发的证书)
  • 7.2. Detection of Misissue (错误签发的检测)
  • 7.3. Misbehaving Logs (行为不当的日志)
• 8. Efficiency Considerations (效率考量)
• 9. Future Changes (未来变更)
• 10. Acknowledgements (致谢)
• 11. References (参考文献)
  • 11.1. Normative Reference (规范性参考文献)
  • 11.2. Informative References (信息性参考文献)
• Authors' Addresses (作者地址)