憑證透明度 (CT) 日誌 - Let's Encrypt 繁體中文

上次更新：2023年9月25日 | 查看所有文件

憑證透明度 (Certificate Transparency，CT) 是一個記錄和監控 TLS 憑證發行的系統。 CT 大幅提升了所有人監控和研究憑證發行的能力，而這些能力促成了 CA 生態系統和網路安全的許多改進。因此，CT 正迅速成為關鍵基礎設施。

Let's Encrypt 會將我們發行的所有憑證提交到 CT 日誌。我們還運營兩個每年分片的 CT 日誌，分別名為 Oak 和 Sapling。歡迎所有公開信任的憑證授權單位提交到我們的日誌。許多憑證授權單位的根憑證已包含在我們的 CT 日誌中。如果您運營憑證授權單位，而您的簽發者未在我們的接受簽發者列表中，請在此提交問題。

請在我們社群論壇的 CT 公告類別中註冊接收通知，以查看關於我們 CT 日誌的重大公告。

資金

如果您的組織希望協助我們繼續這項工作，請考慮贊助或捐款。

架構

請查看我們的部落格，了解Let's Encrypt 如何運作 CT 日誌！

日誌監控

Let's Encrypt 建立了一個名為 CT Woodpecker 的開源 CT 日誌監控工具。我們使用此工具監控自身日誌的穩定性和合規性，並希望其他人也會覺得它有用。

CT 日誌

有關 CT 日誌所經歷的各種生命週期狀態的資訊，請參閱此處。

生產環境

Oak 已納入 Apple 和 Google CT 程式。
我們的生產 ACME API 環境在此處提交憑證。
- 名稱：Oak 2019
  URI：https://oak.ct.letsencrypt.org/2019
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
  日誌 ID：65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
  視窗開始：2019-01-01T00:00Z
  視窗結束：2020-01-07T00:00Z
  狀態：已拒絕 - 分片已過期
- 名稱：Oak 2020
  URI：https://oak.ct.letsencrypt.org/2020
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
  日誌 ID：E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
  視窗開始：2020-01-01T00:00Z
  視窗結束：2021-01-07T00:00Z
  狀態：已拒絕 - 分片已過期
- 名稱：Oak 2021
  URI：https://oak.ct.letsencrypt.org/2021
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
  日誌 ID：94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
  視窗開始：2021-01-01T00:00Z
  視窗結束：2022-01-07T00:00Z
  狀態：已拒絕 - 分片已過期
- 名稱：Oak 2022
  URI：https://oak.ct.letsencrypt.org/2022
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
  日誌 ID：DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
  視窗開始：2022-01-01T00:00Z
  視窗結束：2023-01-07T00:00Z
  狀態：已拒絕 - 分片已過期
- 名稱：Oak 2023
  URI：https://oak.ct.letsencrypt.org/2023
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
  日誌 ID：B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
  視窗開始：2023-01-01T00:00Z
  視窗結束：2024-01-07T00:00Z
  狀態：已拒絕 - 分片已過期
- 名稱：Oak 2024h1
  URI：https://oak.ct.letsencrypt.org/2024h1
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
  日誌 ID：3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
  視窗開始：2023-12-20T00:00Z
  視窗結束：2024-07-20T00:00Z
  狀態：可用
- 名稱：Oak 2024h2
  URI：https://oak.ct.letsencrypt.org/2024h2
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
  日誌 ID：3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
  視窗開始：2024-06-20T00:00Z
  視窗結束：2025-01-20T00:00Z
  狀態：可用
- 名稱：Oak 2025h1
  URI：https://oak.ct.letsencrypt.org/2025h1
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEKeBpU9ejnCaIZeX39EsdF5vDvf8ELTHdLPxikl4y4EiROIQfS4ercpnMHfh8+TxYVFs3ELGr2IP7hPGVPy4vHA==
  日誌 ID：A2:E3:0A:E4:45:EF:BD:AD:9B:7E:38:ED:47:67:77:53:D7:82:5B:84:94:D7:2B:5E:1B:2C:C4:B9:50:A4:47:E7
  視窗開始：2024-12-20T00:00Z
  視窗結束：2025-07-20T00:00Z
  狀態：可用
- 名稱：Oak 2025h2
  URI：https://oak.ct.letsencrypt.org/2025h2
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEtXYwB63GyNLkS9L1vqKNnP10+jrW+lldthxg090fY4eG40Xg1RvANWqrJ5GVydc9u8H3cYZp9LNfkAmqrr2NqQ==
  日誌 ID：0D:E1:F2:30:2B:D3:0D:C1:40:62:12:09:EA:55:2E:FC:47:74:7C:B1:D7:E9:30:EF:0E:42:1E:B4:7E:4E:AA:34
  視窗開始：2025-06-20T00:00Z
  視窗結束：2026-01-20T00:00Z
  狀態：可用
- 名稱：Oak 2026h1
  URI：https://oak.ct.letsencrypt.org/2026h1
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEmdRhcCL6d5MNs8eAliJRvyV5sQFC6UF7iwzHsmVaifT64gJG1IrHzBAHESdFSJAjQN56TYky+9cK616MovH2SQ==
  日誌 ID：19:86:D4:C7:28:AA:6F:FE:BA:03:6F:78:2A:4D:01:91:AA:CE:2D:72:31:0F:AE:CE:5D:70:41:2D:25:4C:C7:D4
  視窗開始：2025-12-20T00:00Z
  視窗結束：2026-07-20T00:00Z
  狀態：待定
- 名稱：Oak 2026h2
  URI：https://oak.ct.letsencrypt.org/2026h2
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEanCds5bj7IU2lcNPnIvZfMnVkSmu69aH3AS8O/Y0D/bbCPdSqYjvuz9Z1tT29PxcqYxf+w1g5CwPFuwqsm3rFQ==
  日誌 ID：AC:AB:30:70:6C:EB:EC:84:31:F4:13:D2:F4:91:5F:11:1E:42:24:43:B1:F2:A6:8C:4F:3C:2B:3B:A7:1E:02:C3
  視窗開始：2026-06-20T00:00Z
  視窗結束：2027-01-20T00:00Z
  狀態：待定

測試

來自這些日誌的 SCT不應納入公開信任的憑證中。
Let's Encrypt 生產環境和測試環境 ACME API 環境都會將憑證提交到 Sapling，但生產環境不會使用產生的 SCT。
我們會在將新版本的 Trillian 和 certificate-transparency-go 部署到生產環境之前，先在此處進行測試。
Sapling 的接受根列表包含所有 Oak 接受的根，以及額外的測試根。
其他憑證授權單位可以使用 Sapling 進行測試。
- 名稱：Sapling 2022h2
  URI：https://sapling.ct.letsencrypt.org/2022h2
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
  日誌 ID：23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
  視窗開始：2022-06-15T00:00Z
  視窗結束：2023-01-15T00:00Z
- 名稱：Sapling 2023h1
  URI：https://sapling.ct.letsencrypt.org/2023h1
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
  日誌 ID：C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
  視窗開始：2022-12-15T00:00Z
  視窗結束：2023-07-15T00:00Z
- 名稱：Sapling 2023h2
  URI：https://sapling.ct.letsencrypt.org/2023h2
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbdCykRsTPRgfjKVQvINRLJk3gy+2qNKOU48bo/sWO0ko75S92C+PBDxsqMEd0YpCYYLogCt2LAK/U4H7UwHsjA==
  日誌 ID：ED:AB:9D:1D:DD:83:73:95:9F:F5:2A:88:E4:6B:B4:BC:C3:C4:CC:4D:76:8A:60:CC:FF:4E:36:2D:7F:B8:D6:68
  視窗開始：2023-06-15T00:00Z
  視窗結束：2024-01-15T00:00Z
- 名稱：Sapling 2024h1
  URI：https://sapling.ct.letsencrypt.org/2024h1
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1Yn4OKJQuwEwo1/BeVBh1NYkQBnS8sYmMfQr/VdXOGqPcbwcpw0TtjJBYmn8FA+ZT7hnt7OfF4RTjLNW3bWOkw==
  日誌 ID：AA:6C:B0:C5:C9:F4:C4:9D:8D:8E:A9:0C:39:17:E0:D7:0A:D9:22:10:BF:05:7F:41:50:93:82:CC:35:0C:98:46
  視窗開始：2023-12-15T00:00Z
  視窗結束：2024-07-15T00:00Z
- 名稱：Sapling 2024h2
  URI：https://sapling.ct.letsencrypt.org/2024h2
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWipy8ZdRGs2Y5tBb8h8c4UUREnT/YMbm+FEUQBBScf85txhGRHNN/sNN0L/KDiGu/GsrOBCkDruDfHkD42eZXQ==
  日誌 ID：85:1B:AE:8E:EE:33:C1:B9:87:3F:C4:9C:7A:7C:27:65:66:3B:6B:80:63:03:04:0A:EC:A6:C1:11:A5:AB:E9:D7
  視窗開始：2024-06-15T00:00Z
  視窗結束：2025-01-15T00:00Z
- 名稱：Sapling 2025h1
  URI：https://sapling.ct.letsencrypt.org/2025h1
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE0orejUR5RSyoqJ0Hyu2gAwO6d9OPGtKgqQwdBMNGkKY1Bms1vzrHaUD5LDEvjB7Ug/ThaXz9eQH03w3jFii0uw==
  日誌 ID：21:E5:1A:44:D8:B9:E7:54:0E:A7:FB:E0:BA:D7:77:36:15:60:66:84:D1:5A:EB:33:E6:45:B4:E9:55:F3:88:83
  視窗開始：2024-12-15T00:00Z
  視窗結束：2025-07-15T00:00Z

Sunlight

Let's Encrypt 正在測試基於 Sunlight 運行的日誌。
來自這些日誌的 SCT不應納入公開信任的憑證中。
Twig 將保持為測試日誌，並接受與 Sapling 相同的 CA。
Willow 和 Sycamore 接受與 Oak 相同的 CA，預計將成為生產日誌。
- 名稱：Twig 2025h1b
  URI：https://twig.ct.letsencrypt.org/2025h1b
  公開金鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE/d6uF9Yw5/3Lo4nJIdWqY0D9H/v/J/WHWqgl8gmTa6AKiBo5CFddHwlU3wj+pgaQm2OhzV2MnXZCOpbLxyk8LA==
  日誌 ID：lZC9hfLPxQZJmKurW7JsLnoXZwKRHBO2i0gF4euUJ+8=
  視窗開始：2024-12-17T00:00Z
  視窗結束：2025-06-17T00:00Z
- 名稱：Twig 2025h2b
  URI：https://twig.ct.letsencrypt.org/2025h2b
  公鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1WZDmBaw9OoQTk8Yf/IvYkXPw6R6A+uBwHf1L4OrI4gsf/g5s9qtFEF6/NhG3R0+nxfha3apbUjdtNWln9yvkg==
  日誌 ID：wF0gVDhcss+yF5INLw3Hg1JhR7GqT++Xynjh8LuE/O0=
  視窗起始時間：2025-06-17T00:00Z
  視窗結束時間：2025-12-16T00:00Z
- 名稱：Sycamore 2025h1b
  URI：https://sycamore.ct.letsencrypt.org/2025h1b
  公鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELnRI9kk9Ahd4T2qNIrqLPvf5lO44NBYwD9lwoV9MqerizPLRDEjzLw2GXa7MonZEXhcMABNHgViY6kb1LeBDJg==
  日誌 ID：TgJ3oMtvarf2feceaghbLRgMKXeCS/tMK72dLNQR874=
  視窗起始時間：2024-12-18T00:00Z
  視窗結束時間：2025-06-18T00:00Z
- 名稱：Sycamore 2025h2b
  URI：https://sycamore.ct.letsencrypt.org/2025h2b
  公鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEocuurm/JTMcynwKIeUHntdBm8OuLHcK6HgWD5wkE6JCcsPx1i1jAnULV8TSrzdzb8YSIx+VgFp+/YmqGUMHE5w==
  日誌 ID：94/yCGmtl2pDc7SsqLOyAxSOFO3mi+FBU1uhNot7qAY=
  視窗起始時間：2025-06-18T00:00Z
  視窗結束時間：2025-12-17T00:00Z
- 名稱：Willow 2025h1b
  URI：https://willow.ct.letsencrypt.org/2025h1b
  公鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbNmWXyYsF2pohGOAiNELea6UL4/XioI3w6ChE5Udlos0HUqM7KOHIP9qBuWCVs6VAdtDXrvanmxKq52Whh2+2w==
  日誌 ID：IX7IijpQPODOtMQx74xNVMHVjB9SuiP0KekrE2jAgWE=
  視窗起始時間：2024-12-19T00:00Z
  視窗結束時間：2025-06-19T00:00Z
- 名稱：Willow 2025h2c
  URI：https://willow.ct.letsencrypt.org/2025h2c
  公鑰：MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEaUvzqBm/C9pNUsVI1jqpms5OkW3Kk+Eb3/veW6P3ogOItkqqEvkZfU7zBbsvm1j1Ep003iNUGFOrilPl5TpCRg==
  日誌 ID：kqECxXwi2rGMzCrnH9TMWcBdJR2hbHPiKBvT8LBImIc=
  視窗起始時間：2025-06-19T00:00Z
  視窗結束時間：2025-12-18T00:00Z

日誌操作

若要列舉特定 CT 日誌中包含的根憑證，您可以在您選擇的終端機中執行以下命令

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

將憑證提交到 CT 日誌通常由憑證授權單位處理。如果您想嘗試一下，請先從我們最喜歡的網站檢索任意的 PEM 編碼憑證。將以下區塊複製並貼到您的終端機中。

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

在提交憑證之前，必須在一個特殊的結構中進行 JSON 編碼。您可以使用 https://crt.sh/gen-add-chain 提供的 JSON 產生器來執行此任務。crt.sh 工具將返回一個 JSON 套件。將套件下載到您的電腦，如果需要，可以重新命名檔案，並發出以下命令以執行 add-chain 操作 (RFC 6962 第 4.1 節) 將憑證提交到 CT 日誌。輸出將包含一個簽名，它實際上是一個 SCT。稍後會詳細介紹簽名。

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

為了確認 CT 日誌是由 Oak 2020 分片簽署的，我們使用上述命令中的 id 欄位，並透過以下命令運行。結果將輸出 CT 日誌的日誌 ID。

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

使用簽名欄位，我們可以驗證憑證是否已提交到日誌。使用我們的 SCT 深入指南，您可以進一步解碼此值。

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84