证书颁发机构 (CA)是受委托代表网站运营商颁发证书的组织,网站运营商可以使用这些证书向连接的客户验证自己的身份。
Chrome、Safari和Firefox浏览器等强制执行 CT 的客户端是仅接受符合其 CT 策略 阿根廷电报号码数据 的证书的 Web 客户端。例如,策略可能要求证书包含已提交至至少两个独立运营的公共 CT 日志的证明。
日志操作员运行 CT 日志,这些日志是公开的、仅可追加的证书列表。CA 和其他客户端可以向 CT 日志提交证书,以获得 CT 日志的“承诺”,即在一定的宽限期内将该条目合并到仅可追加的日志中。CT 日志会定期(通常每隔几秒)更新其日志状态,以合并批量新条目,并发布一个签名的检查点来证明新状态。
监控人员是第三方,他们会持续抓取证书颁发机构 (CT) 日志并检查其行为是否正确。例如,他们会确保在日志中添加新条目时不会删除或修改之前的条目,从而验证日志的自洽性和仅追加性。监控人员还可以检查已记录的证书,以帮助网站运营商检测证书颁发错误。
尽管CT系统取得了成功,但它并非完美无缺。Eric Rescorla 撰写了一篇精彩的文章,阐述了2013年为使CT系统能够在互联网上部署而做出的诸多妥协。我们将重点讨论运行CT日志的操作复杂性。