主要目的

• 增强证书可信度：通过公开证书颁发情况，让网站所有者和用户能发现并质疑异常或错误颁发的证书，防止中间人攻击伪造证书。
• 提高证书颁发机构（CA）问责性：CA 的证书颁发行为被公开记录，促使 CA 严格遵循规范颁发证书。

基本工作原理

1. 证书提交：CA 在颁发证书时，需将新颁发的证书提交给一个或多个证书透明度日志（CT Log）。
2. 日志记录：CT Log 接收证书后，会为其分配一个序列号，并将证书相关信息（如主体、颁发者、有效期等）以加密哈希树（Merkle Tree）的形式记录下来。
3. 审计与验证：
   • 网站所有者：可定期查询 CT Log，检查是否有以其域名颁发的异常证书。
   • 浏览器等客户端：在验证服务器证书时，会向 CT Log 请求证书的存在证明，检查证书是否被正确记录在 CT Log 中。

增强通信安全性的方式

1. 检测非法证书：及时发现未授权或恶意颁发的证书，若浏览器在验证证书时发现证书未在 CT Log 中正确记录，则可判定该证书可能存在问题，阻止建立不安全的连接。
2. 追溯与问责：一旦发现异常证书，可根据 CT Log 的记录追溯到证书的颁发者，对违规的 CA 进行问责，促使 CA 规范证书颁发流程，从源头保障通信安全。