ドメインの持ち主以外が証明書を勝手に発行する事例が背景となり、Googleのエンジニアが2011年に提唱した。証明書の発行をログサーバーに届け出ることで、ドメインの持ち主は不正な届け出を検知できる。
知人のベテランエンジニアの方から聞いたストーリーは興味深かったが、私かその人が誤解しているようだった。
「シマンテックが google.com の証明書を内部で勝手に発行したので、その対策としてGoogleが考えた仕組みである。」これは時系列的に誤り。
- CTサーバーが中央集権的に管理されているため、ハッシュ再計算により追記のみの前提を覆せるという指摘がある。
- CTサーバー管理者は全世界のアクセス情報を知ることができる。
- IPアドレスを全件クロールするのに比べ、圧倒的に速くドメイン情報を収集できる。
admin.example.comのようなドメインが、登録直後に簡単に発見されてしまう。
- 検索: https://crt.sh/
- リアルタイム監視: https://certstream.calidog.io/
- 統計: https://ct.cloudflare.com/