Certificate Transparency

Certificate Transparency es una nueva capa de seguridad sobre el ecosistema TLS. Certificate Transparency es obligatorio en Chrome para los nuevos certificados desde finales de 2017. Este addon de Firefox hace que el navegador sea compatible con Certificate Transparency comprobando el SCT (Signed Certificate Timestamp) incrustado en el certificado que protege las webs visitadas.

Nuestro plugin funciona con muchos logs. Esto significa que no importa de cuál log venga el SCT, seremos capaces de comprobarlo porque hemos introducido la clave pública y dirección de básicamente todos los logs conocidos hasta ahora:

Google ‘Pilot’, Google ‘Aviator’, DigiCert Log Server, Google ‘Rocketeer’, Certly.IO, Izenpe, Symantec, Venafi, WoSign, WoSign ctlog, Symantec VEGA, CNNIC CT, Wang Shengnan GDCA , Google ‘Submariner’, Izenpe 2nd, StartCom CT, Google ‘Skydiver’, Google ‘Icarus’ , GDCA, Google ‘Daedalus’, PuChuangSiDa, Venafi Gen2 CT, Symantec SIRIUS y DigiCert CT2.

El SCT puede ofrecerse al usuario de tres maneras diferentes:
- Incrustado en el certificado
- A través de una extensión TLS
- Aprovechando OCSP

No es sencillo desde la perspectiva técnica de un plugin llegar a la capa de TLS o OCSP y comprobar el SCT. Incluso para los ingenieros de Mozilla. Por eso nuestro plugin por ahora solo comprueba el SCT incrustado en los propios certificados. Aunque no resulta ideal, es el escenario mayoritario y la vía por la que se distribuyen la mayoría de los SCT.