Apie SSL Transparency Log misiją
Siekdama užkirsti kelius įsibrovėliams padirbinėti pasiekiamumą piktavališkais išpildytais žetonais ir svetimais SSL liudijimais tinkle, informatikos ir infrastruktūros industrija pritaikė atskaitomumo logą ir patikros sąvoką. Taip laiku užtikrinami žaidėjų atsekimai.
Tiksliniai panaudojimo pritaikymai praktikoje
- OSINT / Įsilaužimų Prevencijos Atranka: Find all subdomains that have been issued SSL certificates.
- Brandų ir Ženklų Teisinių Kenkimo Paieškai: Detect unauthorized certificates issued for your domain.
- Globalios Apimties Auditas Sistemos Savininkui: Security professionals use CT logs during penetration testing.
- Aptikimo Galimybės Tiekimų Licencijų: Verify that your organization's certificates are properly logged.
Paaiškinant platformos architektūrines mįsles IT administracija
Ar iš tiesų atliekama ši viešumo misija sugeba pažaboti phishing (piratinio suklastojimo atakai skirto klastoti originalią svetainę) organizacijų lygmenyse??
100 proc. Naršyklėse Chrome, perimantys netikromis SSL autentifikavimo šaknimis apsuptos puslapius greit patikrinamo fakto neturėdami, kuomet SSL niekur neįsiliejo transparantiškais šaltiniais į šį CT medį... Užblokuoja patikimumą apvesdama saugos pažeidimo indikacijos klaidos lentele vartotojui nedelsiant!
Galiu sužinoti... ar aš sukompromituočiau atvirus įrašus čia, jei savo tinklalapyje pačiame ofise vietiniams portfeliams perkurčiau vietinės prieglobos (Localhost/lan/wifi zonoje) savo sugeneruotus savirašius slapukų išdavimo šaltinius IP išskyrom??
Tikrai ne! Logus registruoja išimtinai atviro lauko standartines rinkos bendrovės (CA) turinti viešai pritaikomas ir registruotas paslaugas apmokėdamoms platformoms, dėl to tavo privačių Self-Signed kurėjų kodų ten jokiose ištraukose ir nesikaups bei nelaikys nieko slaptam organizacijos tinkle.