Как получить сертификат с Public Audit Records

Здравствуйте!

Возможно, в процессе работы с сертификатами Вы сталкивались со следующим уведомлением в браузере: «Записи общедоступного аудита отсутствуют». Не стоит паниковать. Все это легко поправимо. Если вы хотите узнать, как именно, то читайте далее. Но сначала небольшой экскурс в проблему.

В настоящий момент браузеры доверяют сертификатам, если соблюдаются четыре условия: сертификат подписан доверенным центром сертификации; текущее время входит в проверенный период действия сертификата (стоит между notBefore и notAfter); ни выданный сертификат, ни подписанный сертификат не были отменены; и, наконец, сертификат соответствует доменному имени желаемого URL-адреса.

Однако все эти правила открывают двери перед некоторыми злоупотреблениями. Доверенный центр сертификации может выпустить сертификаты тем, кто не должен ими обладать. Уже были такие прецеденты, когда промежуточные сертификаты использовались в различных атаках.

Основная проблема здесь состоит в том, что центры сертификации выпускают такие сертификаты секретно. Вы не сможете узнать, что центр выпустил мошеннический сертификат, пока вы не столкнетесь с этим сертификатом и не изучите его. Следовательно, вы вполне можете стать целью злоумышленников. Чтобы предотвратить такие ошибки и такие злоупотребления, история выданных сертификатов центром регистрации должна быть публичной.

Для решения этой проблемы был создан журнал выпущенных сертификатов. Он может поддерживаться как центром, выпускающим сертификаты, так и кем-либо еще. Важно, чтобы: этот журнал нельзя было отредактировать, в нем можно только оставлять новые записи; время добавления сертификата в журнал должно быть соответствующим образом отмечено и закреплено. В результате такого подхода общественность может видеть, когда была произведена регистрация сертификата и для какого домена.

Если браузер видит, что сертификат должен присутствовать в журнале, но не находит там его или что-то не соответствует реальным данным (к примеру, неправильная метка времени и т.д.), то в таком случае браузер может принять соответствующие меры. Он обычно выдает сообщение о том, что сертификат не имеет публичных записей в журналах («записи общедоступного аудита отсутствуют»). Это сообщение никак не связано с SHA-1 / SHA-2.

Список известных журналов доступен на сайте Google. Такие журналы поддерживают многие компании, в том числе Digicert, Izenpe и Certly. Они ведут контрольные журналы для разных центров сертификации.

Команда Chrome указывала на то, что EV-сертификаты, выпущенные после 1 января 2015 года, должны присутствовать в публичном контрольном журнале. Данные о EV-сертификатах, в отличие от всех остальных, автоматические передаются в такие журналы.

Если Вы столкнулись с ошибкой записей общедоступного аудита, то решить эту проблему можно очень просто:
  • В том случае, если у Вас уже установлен EV-сертификат, то есть отображается зеленая адресная строка, вам просто понадобится перевыпустить EV-сертификат. Для перевыпуска имеющегося EV-сертификата нужно отправить в УЦ (или компанию, через которую приобретался сертификат) новый CSR-запрос и завершить процедуру валидации домена. Далее надо будет установить новую версию сертификата.
  • Если у Вас установлен обычный SSL сертификат (любой другой, кроме EV), то решить данную проблему поможет выпуск и установка сертификата c расширенной проверкой. Заказать его вы можете в компании ЛидерТелеком.