在什么时候记录/不记录公共 SSL/TLS 证书

在您决定是否将证书记录到 CT 日志前,请务必了解,在大部分情况下,将您的证书记录到公共 CT 日志中是正确的选择。

但是,我们知道您可能拥有您不想在 CT 日志中公开的内部域。这些域可以不记录在 CT 日志中。下面提供的一些信息可以帮助您做出正确的 CT 日志记录选择。

我为什么要记录我的公共 SSL/TLS 证书?

如果证书为公共网站提供保护,您始终应该将它记录在公共 CT 日志中。

  • 您的证书信息已经公开。浏览您的网站的访客可以单击其浏览器中的锁定图标查看证书详细信息;这些信息在公共 CT 日志中可以看到。
  • 不记录证书日志没有任何好处,只要坏处。现在的浏览器要求进行 CT 日志记录(Chrome、Safari 和其他浏览器),未记录的公共受信任的证书将导致不受信任警告。这将中断用户与您的网站的连接,让您的网站无法使用。

我为什么应该对我的 SSL/TLS 证书信息保密?

如果证书为内部或专用网站提供保护,且您拥有因为品牌、隐私或网站安全原因而需要保密的组织名和域名,您可以选择不记录证书。

坏处是大部分浏览器要求记录 CT 日志(例如,Chrome、Safari 等),且任何连接您的网站的用户都将看到不受信任的警告。因此请务必确保:

  • 确实需要对组织名和域名保密。
  • 准备好管理访问此网站的用户并获得不受信任的警告。