要快速了解证书透明性，请阅读我的同事Nick Sullivan今天早些时候的帖子。下面的讨论将对该文章进行扩展，并详细介绍Cloudflare如何监视证书透明度（CT）日志的运行状况和性能。证书透明性的成功取决于是否存在一个由日志和日志操作员组成的强大生态系统。如果没有CAs可以依赖的日志，浏览器不可能像Chrome计划在4月30日那样要求SSL证书被记录为可信的。随着这个最后期限的快速临近，其他浏览器也可能会效仿，CT生态系统继续加强和扩展新的日志运营商是至关重要的。正如我们今天早些时候所写的，Cloudflare最近加入了这个受信任的日志运营商小组，帮助加强了这个关键的生态系统。现在，我们将向您简要介绍一下我们新的可公开访问的工具，它跟踪所有受信任日志的运行状况。除了基本的正常运行时间和响应时间之外，Merkle Town还提供了证书的类型和频率、最大的颁发者以及ca对现有日志和彼此的相互依赖性的统计信息。点击这里直接进入我们的CT生态系统仪表板，或者继续阅读我们已经构建的快速概述。仪表板概述仪表板分为两个页面：监视日志的列表和监视时发现的证书的分析。后者可分为以下几部分：证书按类型分类根证书颁发机构全局详细信息传统算法证书颁发机构每天颁发大型证书颁发机构的日志利用率日志列表在这个页面上，我们列出了我们正在积极监控的所有日志。该集目前由Chrome信任的所有日志组成，但有一个例外：WoSign最近不被信任，很快就会被删除。我们还计划，一旦Mozilla、Apple和其他公司（最终）制定了CT政策，我们将扩大我们的列表。监测方法对于列出的每个日志，我们每分钟获取一次当前有符号的树头（STH）和一组受信任的根。我们还没有看到的新条目会被爬网，我们会定期向每个日志提交严格有效的未过期证书或预证书（除非日志是按年份分片的，在这种情况下，不管过期状态如何，我们都会提交一个在当年过期的证书）。所有对日志的请求都计入我们对其正常运行时间和响应时间的估计。一个特定端点的正常运行时间，例如get sth或get entries，计算为在90天的滚动窗口中成功返回200状态代码和有效响应的请求的百分比。端点的响应时间计算为发送请求后完全接收和解析响应所需的平均时间（同样是在90天的滚动窗口内）。将这些放在一起，我们可以计算日志的正常运行时间和响应时间，方法是取所有受监视端点的正常运行时间和响应时间的平均值。请注意，监视器的某些部分可能会强制执行不同的超时，或在请求失败时重试，而其他部分则不会。例如，如果有一个失败，get roots and get sth将开始更频繁地重试，但是如果add chain失败，那么在发送下一个add chain时，这一点不会改变。这种行为意味着相对于对"停机时间"更直观的解释，停机时间可能会受到不公平的惩罚。最后，get entries端点的响应时间与它返回的条目数密切相关，但是我们的监视器当前忽略了这个信息。证书按类型分类在仪表板的这一部分，我们将监控的CT日志中找到的所有证书分为以下类别：验证级别、公钥算法、签名算法、条目类型和过期的v.Current。选择一个图表的一部分将通过这个选择过滤其他图表，以及饼图下面的根证书颁发机构部分。在上面所示的示例中，我首先单击验证级别图中的"其他"以丢弃找到的3.15亿个DV证书。然后，我单击"扩展"以仅显示EV证书，在过期的v.Current图表中单击"Current"以筛选出过期的证书。从这里，我将鼠标悬停在根证书颁发机构的水平条形图上，以查看未过期的ev在根之间的分布情况。请注意，我们（尚未）按所有者对根进行分组，例如，GeoTrust是单独列出的，而不是DigiCert的一部分，DigiCert与Symantec的CA业务一起购买了该品牌。EV是第一种需要在CT中记录的证书。Chrome从2015年开始执行这项规定，任何未记录的EV证书都不会得到显示该组织法定名称和国家的半标准化处理。从Merkle Town得到的另一个有趣的观察是，RSA代表了我们数据库中所有证书的93%，但只有91%未过期的证书。这一数据表明，椭圆曲线加密技术的采用越来越多，椭圆曲线密码技术使用的密钥比RSA小（在同等的加密强度下），从而减少了终端服务器的负载，减少了在TLS握手过程中通过线路发送的字节数。根证书颁发机构这里，我们根据证书链接的根来分解证书计数。下面的动画已经过筛选，以便在所有验证类型中仅显示当前证书。还请注意，显示的根没有按所有者分组。正如我不断钻研"其他"类别时所看到的，浏览器信任的ca有一长串尾巴，几乎没有未过期的证书。证书的透明性和策略的执行不因颁发者的大小而有所区别：很快任何在全球范围内颁发的证书都必须被记录下来，否则就有不被信任的风险。全局详细信息这一部分非常简单，但有助于我们了解webpki的运行规模。正如在写这篇文章的那一天捕捉到的，我们观察到33906个证书已颁发，28955个证书每小时过期。值得注意的是，大约四分之三的发行量可以归因于Let'sEncrypt。既然它们提供了通配符证书，那么观察这个速率是如何变化的很有趣：通配符扩大了它们可以服务的用户范围，但减少了每个域所需的证书数量。传统算法将来，我们计划提供向下钻取类别以查看特定证书的功能，尤其是那些使用不推荐使用的算法的证书。现在，您可以看到使用不推荐的算法（如RSA-MD2（4）、RSA-MD5（22）和RSA-SHA1（744732）签名的仍然有效的证书的计数。证书颁发机构每天颁发全球每天有超过1000000个证书被颁发。如前所述，除了Cloudflare通过DigiCert加速发布之外，Let's Encrypt大约占发行量的75-80%。70%代表这两天内最右边的两天。Chrome即将发布的HTTP站点"不安全"标签，推动了使用Cloudflare SSL for SaaS提供商产品的HTTPS的大量采用。我们的客户每天使用我们的自定义主机名API将成千上万个站点从HTTP迁移到HTTPS。大型证书颁发机构的日志利用率正如我们今天早些时候所解释的，让浏览器知道SSL证书已经被记录到CT的最流行的方法是在证书中嵌入sct。这个过程发生在证书被签署并提供给网站运营商之前，所以它的可靠和快速的执行是至关重要的。下表显示CA通常从由其他CA操作的同一组日志中获取SCT。在某些情况下，CAs将允许其他CA免费进行日志记录，而在其他情况下，它们可能会收取适度的费用来抵消日志的操作成本。Cloudflare一直在与CAs合作，通过提供（并行）根据浏览器的CT策略获取sct的api，帮助它们简化这一过程。帮助传播透明度Merkle镇由Cloudflare加密团队工程师Brendan McMillion建造。想和Brendan、Nick Sullivan和Cloudflare Crypto团队的其他成员合作吗？你很幸运，因为他们在旧金山和伦敦招聘全职密码工程师和实习生。今天就申请，帮助我们进一步加强网络加密。另外，正如我在本文开头所说的，证书透明性依赖于一个由日志和日志操作员组成的强大生态系统。CT使用HTTPS提高了每个人的安全性，因此，如果您的组织有足够的资源来建立日志，请随时联系我们：ct-logs@cloudflare.com。给我们留言，我们很乐意为您指出正确的方向。