Wann öffentliche SSL-/TLS-Zertifikate zu protokollieren sind, und wann nicht

Bevor Sie sich entscheiden, ein Zertifikat in die CT-Protokolle aufzunehmen, ist es wichtig zu wissen, dass in der überwiegenden Mehrheit der Fälle eine Protokollierung Ihrer Zertifikate in öffentlichen CT-Protokollen die richtige Option ist.

Wir verstehen natürlich, dass Sie eventuell interne Domänen der Öffentlichkeit nicht in CT-Protokollen zugänglich machen wollen. Diese Domänen können von der CT-Protokollierung ausgeschlossen werden. Hier bieten wir Ihnen einige Informationen, die Ihnen helfen sollen, die richtige CT-Protokollierungsentscheidung zu treffen.

Wann sollte ich mein öffentliches SSL/TLS-Zertifikat protokollieren?

Falls das Zertifikat eine öffentliche Website schützt, sollten Sie es immer in öffentliche CT-Protokolle aufnehmen.

  • Ihre Zertifikatsdaten sind bereits öffentlich zugänglich. Ein Besucher Ihrer Website kann in seinem Browser auf das Schlosssymbol klicken, um die Zertifikatsdetails anzuzeigen, dieselben Informationen also, die in den öffentlichen CT-Protokollen stehen.
  • Es ist kein Vorteil Ein Verzicht auf die Protokollierung des Zertifikats hat keine Vorteile, sondern nur Nachteile – Browser benötigen heute die CT-Protokollierung (Chrome, Safari und andere Browser) und öffentlich vertrauenswürdige Zertifikate, die nicht protokolliert sind führen zu einer Warnung Nicht vertrauenswürdig. Das unterbricht die Verbindung zwischen dem Benutzer und Ihrer Website und macht Ihre Website letztlich unbrauchbar.

Wann sollte ich die Informationen meines SSL/TLS-Zertifikat geheim halten?

Falls das Zertifikat eine interne oder private Website schützt, und Sie Organisations- und Domänennamen haben, die Sie aus Gründen des Markenschutzes, des Datenschutzes oder der Netzwerksicherheit geheim halten, dürfen Sie auf die Protokollierung des Zertifikats verzichten.

Der Nachteil ist, dass die meisten Browser CT-Protokollierungsanforderungen haben (z. B., Chrome, Safari usw.), die dazu führen, dass jeder, der Ihre Website besuchen will, einer Warnung Nicht vertrauenswürdig erhält. Stellen Sie also sicher, dass Sie:

  • Wirklich Organisations- und Domänennamen schützen müssen.
  • Benutzer, die diese Seite besuchen, darauf vorbereitet haben, sie eine Warnung Nicht vertrauenswürdig zu erhalten.