将 SSL/TLS 证书从公共 CT 日志中排除

我们理解您可能要将特定的公共 SSL/TLS 证书排除在 CT 日志记录外。但是,在您开始将证书从 CT 日志记录中排除前,请务必了解不记录 SSL/TLS 证书的后果。

如果未记录 SSL/TLS 证书会怎么样

带有 CT 要求策略的浏览器将在带有无日志记录的 SSL/TLS 证书的网站上显示不受信任的警告或安全性低指示符。

  • 对于面向公众的网站,客户可能不愿意使用您的网站,导致您失去业务、客户信任和收益。
  • 对于面向内部的网站,访问您的网站的用户可能会被吓跑。

Google Chrome 是第一个在具有 2018 年 4 月 1 日以后颁发的无日志记录的证书的网站上显示警告的浏览器。请参阅扩展到所有证书类型的 Google CT

其他浏览器已经开始追随该做法。Apple 在具有 2018 年 10 月 15 日以后颁发的无日志记录的证书的网站上显示警告。请参阅 Apple 公布证书透明度要求

删除不受信任的警告

要删除来自无日志记录的证书的此不受信任警告,必须执行以下操作:

  • 补发证书并允许我们记录日志。
  • 将原始证书替换为补发的记录 CT 日志的证书。