Когда нужно и когда не нужно регистрировать открытые сертификаты SSL/TLS

Прежде чем вы примете решение от том, будете ли вы регистрировать сертификат в журналах CT, важно понять, что в подавляющем большинстве ситуаций регистрация ваших сертификатов в открытых журналах CT является правильным выбором.

При этом мы знаем, что у вас могут быть внутренние домены, которые вы не хотите делать открытыми в журналах CT. Эти домены можно исключить из журналов CT. Ниже приведена некоторая информация, на основе которой вы сможете принять правильное решение по регистрации в журналах CT.

Когда мне необходимо регистрировать мой открытый сертификат SSL/TLS?

Если сертификат защищен открытым веб-сайтом, вы должны обязательно зарегистрировать его в открытых журналах CT.

  • Информация о вашем сертификате уже является открытой. Посетитель вашего веб-сайта может нажать пиктограмму замка в вашем браузере, чтобы просмотреть подробные данные о сертификате; эти данные также будут доступны в открытых журналах CT.
  • Отказ от регистрации сертификата не дает каких-либо преимуществ, создавая только неудобства – браузеры не требуют регистрации CT (Chrome, Safari и прочие браузеры), при этом публично открытые сертификаты, которые не зарегистрированы, будут вызывать появление недоверенного предупреждения. При этом разрывается подключение пользователя к вашему сайту и делает ваш сайт практически нерабочим.

В каких случаях я должен сохранять информацию о моем сертификате SSL/TLS конфиденциальной?

Если сертификат защищается внутренним или частным сайтом, и у вас имеются имена организации и домена, которые необходимо сохранять конфиденциальными по причинам, связанным с брендингом, конфиденциальностью или проблемами сетевой безопасности, вам не следует выбирать опцию отказа от регистрации сертификата.

Недостаток состоит в том, что большинство браузеров содержат требования по регистрации в CT (например, Chrome, Safari и т. д.), и всякий, подключающийся к вашему сайту, будет видеть недоверенное предупреждение. Итак, проверьте следующее:

  • Вам действительно необходимо сохранять конфиденциальности имен организации и домена.
  • Приготовьтесь руководить пользователями, которые посетили сайт и получили недоверенное предупреждение.