google的证书透明度项目已经存在一段时间了,google chrome和mozilla firefox都宣称已加入该项目,但我如何测试浏览器是否真正支持证书透明度以及SCT的三种交付方式?
答案 0 :(得分:1)
测试浏览器是否检查证书透明性的最简单方法之一就是尝试一个已知的错误站点,例如https://invalid-expected-sct.badssl.com。使用该地址,Chrome 69会指出该网站不安全,但是不执行证书透明性的Safari 12.0会让它通过。
Chrome的政策可以在https://github.com/chromium/ct-policy/blob/master/ct_policy.md
找到Apple正在加强证书透明性,我相信计划是在iOS 12.1.1和macOS 10.14.2中推出它。有关其政策,请访问https://support.apple.com/en-us/HT205280
Firefox 63.0.1似乎也不支持证书透明性,尽管Firefox内置了支持功能,但我相信在解决其他一些问题之前,不会强制实施。
在尝试测试三种交付方式方面,https://www.ida.liu.se/~nikca89/papers/pam18.html有一个研究项目,其可用代码可为给定的域列表提取SCT,因此您应该能够使用它来检查所有三种方式。要使其正常工作,您可以创建文件top-1m.csv,每个域的条目都放在单独的行上,并以忽略的数字值作为前缀,然后在main中执行FirstTestCase函数。另外,您可以查看Conscrypt项目,尽管这需要更多工作。