将 SSL/TLS 证书从公共 CT 日志中排除
我们理解,您可能需要将特定的公共 SSL/TLS 证书从公共 CT 日志中排除。但是在您排除证书之前,请务必了解 SSL/TLS 证书不记录日志的后果。
如果未记录 SSL/TLS 证书会怎么样
带有 CT 要求策略的浏览器将在带有无日志记录的 SSL/TLS 证书的网站上显示不受信任警告或安全性低指示。
对于面向公众的网站,客户可能不愿意使用您的网站,导致您失去业务、客户信任和收益。
对于面向内部的网站,访问您的网站的用户可能会退缩。
Google Chrome 是第一个在具有 2018 年 4 月 1 日以后颁发的无日志记录的证书的网站上显示警告的浏览器。请参阅扩展到所有证书类型的 Google CT。
其他浏览器已经开始追随该做法。Apple 在具有 2018 年 10 月 15 日以后颁发的无日志记录的证书的网站上显示警告。请参阅 Apple 公布证书透明度要求。
删除不受信任警告
要删除来自无日志记录的证书的此不受信任警告,必须执行以下操作:
补发证书并允许我们记录日志。
将原始证书替换为补发的、记录 CT 日志的证书。