Chromeチームが発表した "[彼ら]は、新しく発行され、公的に信頼されているすべての証明書に証明書の透明性を要求する計画を進めます。 2018年4月から開始します。」
2018年7月です。証明書の透明性は今必要ですか?何が変わったの?
私が答えを見つけようとしている2つの主な質問:
企業(または「内部」)CAからの証明書はChromeによって拒否されますか?
これは、引用した正確な文で既に回答されています: "...新しく発行されたすべての証明書の透明性が必要、公的に信頼されている証明書 "。内部CAは公的に信頼されていないため、これらに証明書の透過性は必要ありません。
ブラウザによって監視されたすべての証明書が、GoogleのCTサーバーへのクエリをトリガーするようになりますか?
Chromeの証明書の透明性 検証プロセスを次のように説明します。
Chromemayは、SCTが発行されたCTログによってSCTが守られていること、つまり、対応する証明書が実際にそのCTログで公開されていることを確認します。 ... Chromeこれは、ログからの包含証明を要求する特別に細工されたDNSクエリを送信することによってこれを行います。DNSを使用すると、ユーザーはCTログの観点から匿名のままであり、包含のキャッシュを有効にすることができます証明。
私の理解から、必要なCT情報が証明書に含まれているかどうかは常にチェックされます。しかし、これがこれらの情報が正しいことを常にチェックし、CTログに反映されることを意味するとは思いません。私の推測では、偽のCT情報を持つ証明書が検出されるように、常にではなく十分な頻度でチェックを行うでしょう。