Firefox 中的 Certificate Transparency：Web 安全的重要一步

Follow Follow +1 Tracy Miranda with 1 co-author ·Feb 24, 2025· 3 min read

Certificate Transparency (CT) 一直是 Web 安全领域最重要的进步之一，它保护用户免受证书欺诈和中间人攻击等威胁。虽然 CT 已经存在超过 11 年，但各个浏览器对其的强制执行程度各不相同。

Firefox 现在在桌面平台上强制执行 Certificate Transparency，这是朝着更安全的 Web 迈出的重要一步。 随着此更改（在 135 版本中生效），Firefox 将拒绝不符合 CT 要求的证书。 这确保了浏览器信任的所有证书都符合高透明度标准。

Permalink这对网站所有者意味着什么？

它确保 Firefox 信任的任何 TLS 证书都会记录在 Certificate Transparency 日志中，并且可以公开发现。 如果您的网站已经遵循最佳实践并使用符合 CT 要求的证书，则无需采取任何其他措施。 但是，如果您不确定，可以采取以下步骤：

1. 确保您的 Certificate Authority (CA) 支持 CT 日志记录 - 大多数主要的 CA 已经符合要求，但是如果您使用的是不常见的 CA，请验证其状态。
2. 监控您的证书 - 使用 Certificate Transparency 监控服务和工具以确保没有未经授权的证书被签发，这些证书将被 Firefox 和其他强制执行 CT 的用户代理所信任。

PermalinkFirefox CT 实践

证书透明度信息可以通过以下方式传递：

• 嵌入在证书本身的签名证书时间戳 (SCT)，或者
• 与证书一起装订的 SCT（通过 TLS 握手或 OCSP 响应）。

为了使连接成功，必须使用这两种方法之一提供足够的证书透明度信息。 有关更多详细信息，请参见Firefox CT Policy。

您可以使用 'https://no-sct.badssl.com' 测试站点亲自查看 CT 强制执行，如果从 Firefox v135 访问该站点，将显示错误“MOZILLA_PKIX_ERROR_INSUFFICIENT_CERTIFICATE_TRANSPARENCY”，以反映服务器未为测试站点的域发送签名证书时间戳 (SCT)。

图片由 Matthew McPherrin on Bluesky 提供

PermalinkFirefox 已知的 CT 日志

在浏览器中支持 CT 需要验证来自一组经过批准的 CT 日志的 SCT。 这提出了一个重要的运营问题，尤其是在 CT 日志随着时间的推移而出现和消失的情况下。 每个强制执行 CT 的浏览器都为其日志配置设置了自己的用户代理策略。 对于 Firefox 中的 CT：

• 已知受信任日志的列表来自 Chrome 的列表，并且在 Firefox 的预发布版本中每周自动更新。 这意味着 CT 日志运营商无需向 Firefox 提交新日志。
• 要查看特定版本的 Firefox 中有哪些日志，您可以检查已知 CT 日志的历史记录。

要了解有关 Firefox CT 策略的更多信息，请参见Firefox 中的证书透明度

PermalinkFirefox & 基于 Tile 的日志

由于 Certificate Transparency 社区转向基于 tile 的日志 - 除了 RFC6962 日志之外，还支持 static-ct-api 日志 - 因此出现了 Firefox 是否会效仿的问题。 在 Mozilla dev-security-policy 邮件列表中，Dana Keeler 积极表示 Mozilla 对此方法持开放态度，尤其是在行业采用率提高的情况下。Keeler 表示: “如果很明显支持 static-ct-api 日志对于互操作是必要的，我们可能也会允许它们。”

Permalink最后的想法

在 Firefox 中强制执行 Certificate Transparency 标志着 Web 安全方面向前迈出的重要一步。 随着所有主要浏览器现在都要求将证书记录在 CT 日志中，攻击者更难在不被发现的情况下滥用证书，并且意味着用户可以获得更安全的浏览体验。 对于网站所有者来说，这提醒他们要保持警惕并监控 CT 日志中涵盖其域的证书。

更广泛地说，Certificate Transparency 继续发展并在整个行业中得到采用。 随着浏览器也开始考虑接受基于 tile 的日志，CT 生态系统正变得更加强大，从而确保了 Web 的更高透明度和安全性。