Wprowadzenie
Certificate Transparency (CT) to otwarty framework stworzony przez Google w 2012 roku, mający na celu zwiększenie bezpieczeństwa ekosystemu certyfikatów SSL/TLS. Jego głównym celem jest publiczne rejestrowanie wszystkich wydawanych certyfikatów, aby uniemożliwić wydawanie fałszywych certyfikatów bez wykrycia.
Problem, który rozwiązuje
Przed CT urzędy certyfikacji (CA) mogły wydawać certyfikaty dla dowolnej domeny (np. google.com, bank.gov.pl), a nikt poza właścicielem domeny i CA nie wiedział o tym fakcie. Atakujący mógł uzyskać taki certyfikat i przeprowadzić skuteczny atak Man-in-the-Middle.
Jak działa Certificate Transparency?
- Każdy nowy certyfikat musi zostać zarejestrowany w co najmniej kilku publicznych, niezmiennych CT Logs
- Logi są append-only (tylko dopisywanie) i kryptograficznie chronione
- Przeglądarki (Chrome, Firefox, Safari) wymagają dowodu, że certyfikat został zarejestrowany (Signed Certificate Timestamp - SCT)
- Monitory i audytorzy mogą w każdej chwili przeszukiwać logi w poszukiwaniu podejrzanych certyfikatów
Kluczowe korzyści
- Szybkie wykrywanie nieautoryzowanych certyfikatów
- Możliwość audytu działań urzędów certyfikacji
- Zwiększenie zaufania do całego systemu PKI
- Zmniejszenie ryzyka ataków typu rogue certificate
Aktualny stan (2026)
Certificate Transparency jest już standardem internetowym. Wszystkie nowoczesne przeglądarki wymagają SCT dla certyfikatów. System znacząco utrudnił przeprowadzanie ataków opartych na fałszywych certyfikatach.
Powiązane pojęcia
PKI • SSL/TLS • Certificate Authority (CA) • Signed Certificate Timestamp (SCT) • Let's Encrypt • Man-in-the-Middle Attack • Rogue Certificate
Dodano: 16 maja 2026