Chrome將證書透明度要求推遲至2018年

Google的證書透明度（CT）項目有望成爲SSL生態系統最重要的改進之一。但老話說得好，好的事情值得等待。雖然證書透明度已經開始運行，但對於大多數CA來講，它是可選的。 這意味着CT沒法徹底發揮做用，由於並非全部正在頒發的證書都被它知曉。

Google的Chrome瀏覽器將經過將CT記錄強制要求全部但願被信任的SSL證書來解決這個問題。 可是強制性證書透明度合規的日期已經推遲了6個月 - 從今年10月到2018年4月。谷歌在4月底幾個星期前宣佈了這個消息。這條消息是在Google主持了「CT Days」會議後發佈的。這個歷時兩天的會議集結了CA、CDN、日誌操做員以及全部涉及或受證書透明度影響的表明。 而這個會議的結論就，整個行業都須要更多的時間來確保一切都徹底準備好，以進行生態系統範圍的推廣。

Chrome的工程師之一Ryan Sleevi指出，在接下來的六個月裏，他們但願看到「除了Chrome以外，還有助於保護其餘瀏覽器用戶的部署。」去年，Firefox宣佈將支持CT，但還沒有提交執行日期。

Chrome還在努力實現一個新的HTTP頭，expect-ct，這將容許服務器運營商測試他們的配置和證書在最後期限以前是否都設置正確。

不能否認的是，證書透明度是SSL生態系統的一個重大變化 - 這同時面臨技術挑戰，對於企業部門來講，他們認爲全部證書均可以公開發布。

例如，今年早些時候，東海岸的亞馬遜S3雲服務中斷致使了Venafi的日誌失敗 - 展現了可靠運行日誌的要求。同時，IETF仍在完成一些標準工做。

此外，CT還面臨一些」隱私問題「，尤爲是對於那些主機名公開構成安全隱私風險的企業部門。「名稱修改」仍然存在爭議 - 這將容許對CT日誌中的主機名進行部分審查。谷歌對大多數這些擔心仍然持懷疑態度，嘲諷這些」問題「是過期的威脅模式和對改變的莫名恐慌，而不是合法的風險。

但毫無疑問，證書透明度將爲生態系統帶來巨大的好處。即使它只是被部分採納，CT已經抓取到了必定數量的威脅。