Merge pull request #1124 from ngorskikh/feature/ADG-5428

Update Certificate Transparency status
2025-02-20 11:13:10 +08:00 · 2022-09-21 16:54:32 +03:00 · 2022-09-21 16:54:32 +03:00 · 83457052ef
commit 83457052ef
parent 2b38cb2095 1b3a2ceb9c
3 changed files with 14 additions and 24 deletions
--- a/01.general/11.https-filtering/01.https-filtering-known-issues/docs.en.md
+++ b/01.general/11.https-filtering/01.https-filtering-known-issues/docs.en.md
@ -36,15 +36,14 @@ This problem is solved in [Browser Assistant](https://adguard.com/adguard-assist

 #### Certificate Transparency

-Thanks to modern cryptography, browsers can usually detect malicious websites that are provisioned with forged or fake SSL certificates. However, current cryptographic mechanisms aren’t so good at detecting malicious websites if they’re provisioned with mistakenly issued certificates or certificates that have been issued by a certificate authority (CA) that’s been compromised or gone rogue. Certificate Transparency aims to remedy these certificate-based threats by making the issuance and existence of SSL certificates open to scrutiny by domain owners, CAs, and domain users.
+Thanks to modern cryptography, browsers can usually detect malicious websites that are provisioned with forged or fake
+SSL certificates. However, current cryptographic mechanisms aren’t so good at detecting malicious websites if they’re
+provisioned with mistakenly issued certificates or certificates that have been issued by a certificate authority (CA)
+that’s been compromised or gone rogue. Certificate Transparency aims to remedy these certificate-based threats by
+making the issuance and existence of SSL certificates open to scrutiny by domain owners, CAs, and domain users.

-Browsers ignore the `Expect-CT` header in the case of local certificates, and, to achieve the same level of security, we must implement the certificate transparency check on our side.
-
-**Our plans:**
-
-* Add the certificate transparency support to the certificate validation library.
-
-**ETA:** ETA is Q3 2021.
+AdGuard products which use [CoreLibs](https://github.com/AdguardTeam/CoreLibs/) starting with version **1.11**
+will implement a policy based on [Chrome Certificate Transparency Policy](https://googlechrome.github.io/CertificateTransparency/ct_policy.html).

 ### Have remarks or suggestions?

--- a/01.general/11.https-filtering/01.https-filtering-known-issues/docs.ko.md
+++ b/01.general/11.https-filtering/01.https-filtering-known-issues/docs.ko.md
@ -29,13 +29,8 @@ HTTPS 필터링을 사용하는 경우, 웹 사이트에서 사용하는 실제

 #### 인증서 투명성(Certificate Transparency)
 최신 암호화 덕분에 브라우저는 가짜 SSL 인증서를 가진 악성 웹 사이트를 탐지할 수 있습니다. 그러나 브라우저는 해킹된 인증 기관에서 발급한 인증서를 사용하거나 실제 인증 기관에서 실수로 발급한 인증서를 사용하는 악성 사이트를 탐지할 수 없습니다. 인증서 투명성은 SSL 인증서 발급 프로세스를 개방적이고 투명하게 만들어 이러한 위협으로부터 보호하도록 설계되었습니다.
-브라우저는 로컬 인증서의 경우, `Expect-CT` 헤더를 무시하고 동일한 수준의 보안을 달성하기 위해 AdGuard에서 인증서 투명성 검사를 구현해야 합니다.

-**AdGuard 계획** 
-* 인증서 유효성 검사 라이브러리에 인증서 투명성 지원을 추가합니다.
-
-**예상 기간** 
-예상 기간은 2021년 3분기입니다.
+1.11 버전부터 [CoreLibs](https://github.com/AdguardTeam/CoreLibs/)를 사용하는 AdGuard 제품은 [크롬 인증서 투명성 정책](https://googlechrome.github.io/CertificateTransparency/ct_policy.html)에 따라 정책을 시행할 것입니다.

 ### 의견이나 제안이 있나요?
 의견, 제안 또는 질문이 있으시면 devteam@adguard.com으로 문의해 주십시오.
--- a/01.general/11.https-filtering/01.https-filtering-known-issues/docs.ru.md
+++ b/01.general/11.https-filtering/01.https-filtering-known-issues/docs.ru.md
@ -37,17 +37,13 @@ AdGuard копирует свойства TLS-соединения, которы

 #### Certificate Transparency

-Благодаря современной криптографии браузеры обычно могут легко обнаружить вредоносные сайты с поддельными сертификатами. Однако, этих механизмов недостаточно для обнаружения вредоносных сайтов, которые используют сертификаты, выданные по ошибке настоящим (но, к примеру, скомпрометированным) центром сертификации. Certificate Transparency призван стать защитой от подобного рода угроз, сделав процедуру выдачи SSL сертификатов открытой и прозрачной для всех.
+Благодаря современной криптографии браузеры обычно могут легко обнаружить вредоносные сайты с поддельными сертификатами.
+Однако этих механизмов недостаточно для обнаружения вредоносных сайтов, которые используют сертификаты, выданные по ошибке
+или выданные скомпрометированным центром сертификации. Certificate Transparency призван устранить такие угрозы,
+сделав процедуру выдачи SSL-сертификатов открытой и прозрачной для всех.

-В нашем случае проблема в том, что браузеры игнорируют заголовок `Expect-CT` для локальных сертификатов, и проверка на certificate transparency просто не производится при включенном AdGuard. Для того, чтобы получить тот же уровень защиты, мы должны самостоятельно проводить эту проверку на уровне AdGuard.
-
-**Что мы хотим сделать:**
-
-* Добавить поддержку Certificate Transparency в библиотеку валидации
-
-**Срок реализации:**
-
-* Ожидаемый срок реализации: третий квартал 2021.
+Продукты AdGuard, использующие [CoreLibs](https://github.com/AdguardTeam/CoreLibs/) начиная с версии **1.11**,
+будут проводить политику, основанную на [Chrome Certificate Transparency Policy](https://googlechrome.github.io/CertificateTransparency/ct_policy.html).

 ### Замечания и пожелания?
 Если вы хотите что-то добавить, указать нам на ошибки или несоответствия или задать вопрос, пишите пожалуйста на адрес `devteam at adguard.com`.