Static Certificate Transparency
5 months ago
- #Cloud Costs
- #Certificate Transparency
- #Security
- MerkleMap明确表示不支持静态证书透明度(CT)API,认为这是对CT生态系统的倒退行为。
- Let's Encrypt以成本为由放弃RFC 6962的合理性受到质疑,其声称的'接近七位数成本'被指夸大其词。
- 亚马逊AWS的高昂成本(特别是数据出口费用)被重点强调,Let's Encrypt接受AWS赞助被视为存在利益冲突。
- MerkleMap以Let's Encrypt声称成本的极小部分,自2013年起就运营着包含完整CT历史的PostgreSQL数据库。
- 静态CT的局限性包括:无法通过哈希值验证证明、要求客户端手动处理范围查询等。
- Sunlight实施方案存在多项安全隐患:加密密钥可预测、缺少权限检查、认证方式薄弱等。
- MerkleMap谴责通过Chrome市场地位推广静态CT的做法,认为这绕过了标准的共识建立流程。
- 由于存在安全缺陷且安全披露处理不当,MerkleMap宣布不会使用Sunlight方案进行日志监控。
- MerkleMap坚持支持RFC 6962标准,主张在现有成熟框架内进行渐进式改进。