证书透明性是Google创建的框架，可帮助验证SSL证书是否真实有效，证书透明性解决了SSL证书系统结构中的缺陷，而当前的加密机制是没有办法解决这些缺陷。

如果证书颁发机构（CA）受到某种程度的破坏，证书颁发机构（CA）误发了SSL证书，有时几个星期或几个月都不会检测到SSL证书。当检测到SSL证书时，很可能会撤销SSL证书，然后浏览器将知道不信任该SSL证书的站点，并会相应警告网站用户。

在这种情况发生之前，使用SSL证书滥用的网站可能会欺骗许多毫无戒心的用户，使用不安全网站。钓鱼网站利用这一缺陷欺骗了合法站点，达到诈骗的目的。而证书透明性则有助于防止此类基于SSL证书的恶意情况的发生，因为它可以在短短的几小时内检测到此类SSL证书。

证书透明性如何工作？证书透明性由三个主要部分组成①证书日志：证书日志是简单的网络服务，这些日志服务器受到密码保护，并且可以公开审核。任何人都可以将证书添加到日志中，但是大多数情况下是证书颁发机构在做。证书的记录也是仅追加的，意味着它会记录发生的任何数据更改。日志服务器获得新证书时，会为其提供签名证书盖章，通常将其附加到证书上以作为颁发证书的证明。证书将永久存储在日志中，即使过期的证书也无法删除。

②监控器：监控器是由证书颁发机构或第三方运行的服务器，它们监视日志服务器中是否存在可疑活动，例如发布具有异常权限或扩展名的未授权证书或SSL证书。

③审核员：审核员是软件组件，可定期检查证书日志以确保其正常运行。如果日志无法正常执行，则可能将其关闭。这三个组件协同工作，以确保证书透明性的开放框架正确有效地运行。

证书透明度会有什么影响吗？

它不会影响购买、激活、以及使用SSL证书或浏览网页的过程。但是，它对整个行业产生了重大影响。到目前为止，已经发现并吊销了成千上万个发布错误的SSL证书，甚至关闭了一些发布了错误证书的证书颁发机构。当然证书透明性的存在不仅可以保护网站运营者，还可以保护网站访问者免遭带有假SSL证书的恶意网站的欺骗。

在有些情况下，人为错误或假冒行为可能会导致误发证书。Certificate Transparency (证书透明度) 改变了签发流程，新流程规定：证书必须记录到可公开验证、不可篡改且只能附加内容的日志中，用户的网络浏览器才会将其视为有效。这能够促使授权中心在签发证书时更加负责，从而有助于形成一个更可信安全的系统。

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络，如有侵权请及时告知我们处理。