我有一个使用 Let's Encrypt 证书的网站。它不是由 Cloudflare 托管的,而是托管在 OVH 上,我接受来自它的直接流量。
现在,我设置了一个 apache2 网络服务器并使用 certbot 自动生成证书。这里的问题是,当我在 Firefox 上查看证书信息时,我可以在页面底部看到它包含对“Cloudflare Nimbus2023”的引用,尽管我没有使用他们的服务。
下面所附的图片就是它所显示的...
(由于某种原因,它不允许我附加图片)
有人能向我解释一下这是什么吗?Cloudflare 在这里访问什么?
答案1
Nimbus2023 是一个证书透明度日志,由 Cloudflare 托管。基本上,CAB 要求所有颁发的证书都列在透明度日志中 - CF 就是这样的。SCT 是签名证书时间戳 -基本上 Cloudflare 会表示他们在某个时间点看到了你的证书。这使得验证更加容易,并且基本上形成了日志操作员在 24 小时内将证书包含在日志中的承诺。
SCT 的存在使这些日志操作员保持诚实 - 他们无法作弊,因为他们已公开承认知道该证书,并承诺将其包含在内。它还减少了隐私问题,因为浏览器不必在 CT 日志中查找证书。
这没什么好担心的。这是 LE 颁发证书的属性。密钥材料永远不会离开您的计算机,因此 CF(或 LE)无法解密您的流量。虽然有人可能不同意 CF 的商业模式,但在这种情况下,CF 通过托管一项他们不赚钱却耗费资源的服务,为互联网做了一件好事。
如果您不希望证书出现在 CT 日志中,最好的办法是不要使用证书。更好的方法是信任运营 CA/浏览器论坛和 Let's encrypt 的人。他们对 TLS 的工作原理以及如何保证其安全有着扎实的了解。