何时记录/不记录公共 SSL/TLS 证书日志
在您决定是否要将证书记录到 CT 日志中之前,请务必了解,在大多数情况下,将证书记录到公共 CT 日志中是正确的选项。
但是,我们知道您可能有一些内部域,您不想把它们在 CT 日志中公开。这些域可以不记录在 CT 日志中。下面提供的一些信息可以帮助您做出正确的 CT 日志记录选择。
我为什么要记录我的公共 SSL/TLS 证书?
如果证书为公共网站提供保护,您始终应该将它记录在公共 CT 日志中。
您的证书信息已经公开。访问您网站的访客可以单击浏览器中的锁定图标,以查看证书详情,这些信息与公共 CT 日志中提供的信息相同。
不记录证书日志没有好处,只有坏处:浏览器(例如 Chrome、Safari 和其他浏览器)现在要求记录 CT 日志,没有记录日志的公共可信的证书将引发不受信任警告。这将中断用户与您的网站的连接,让您的网站无法使用。
我为什么应该对我的 SSL/TLS 证书信息保密?
如果证书正在保护内部或私有网站,并且出于品牌、隐私或网络安全原因,您的组织和域名需要保持私密,您可以选择不记录证书日志。
缺点是大多数浏览器都有 CT 日志记录要求(如 Chrome、Safari 等),因此任何连接到您网站的人都会看到不受信任警告。因此请务必确保:
确实需要对组织名和域名保密。
准备好管理访问此网站的用户并获得不受信任警告。