Блог

Я пишу клиентское приложение Go HTTP, и ему необходимо проверить SCT, чтобы воспользоваться преимуществами прозрачности сертификата. Поддерживается ли это автоматически в последней версии Go? Как вы этого добиваетесь?

Здесь есть два аспекта:

1. извлечение SCT из TLS-соединения
2. проверка SCT по журналам CT

Извлечение SCT легко выполняется в стандартной библиотеке с тремя различными вариантами для RFC 6962:

• как расширение в самом конечном сертификате
• в качестве расширения TLS при квитировании
• в ответе OCSP

Все они доступны через tls.ConnectionState в их соответствующих полях:

• state.PeerCertificates[0].Extensions под расширением с идентификатором asn1.ObjectIdentifier{1, 3, 6, 1, 4, 1, 11129, 2, 4, 2}
• state.SignedCertificateTimestamps
• state.OCSPResponse

Их все еще необходимо правильно проанализировать.

Проверка SCT сложнее и не является частью стандартной библиотеки. Это включает в себя следующее:

• наличие списка доверенных журналов CT
• поиск журнала CT, открытый ключ которого использовался для подписи SCT
• проверка подписи
• проверка включения сертификата в дерево merkle CT и проверка временных меток

Это можно сделать с помощью утилит certificate-transparency-go, но они не включают быстрый и простой способ использовать его в качестве библиотеки.

Одна библиотека, которая пытается упростить все это, доступна по адресу github.com/mberhault/go-sct. Это можно использовать следующим образом для проверки SCT после получения HTTPS:

Отказ от ответственности: я являюсь автором github.com/mberhault/go-sct .

 import "github.com/mberhault/go-sct"

// Verifying the SCTs after a HTTPS GET request.
resp, err := http.Get("https://www.certificate-transparency.org")
if err != nil {
    panic("get failed "   err.Error())
}

err = sct.CheckConnectionState(resp.TLS)
if err != nil {
    panic("SCT check failed "   err.Error())
}
  

То же самое можно сделать с tls.Состояние соединения, полученное с помощью других методов (при tls.Conn или при tls.Config.VerifyConnection обратном вызове).