一些前置知識：
http://www.rzrgm.cn/mysticbinary/p/17260648.html

證書透明（CT）的定義

CT的目的是監測和審計數字證書。透過證書日志、監控和審計系統，證書透明度使網站用戶和域名持有者可以識別不當或惡意簽發的證書，以及識別數字證書認證機構（CA）的行為。

簡單來說就是為HTTPS提供一個可審計，可追究責任的一種提高互聯網安全的機制。

CT可以增強互聯網的安全性。具體如下：

• 原理：證書透明要求所有的證書頒發操作都必須被記錄和公開，實現對CA行為的監控和審計。當CA頒發一個新的SSL/TLS證書時，必須在證書中包含一個指向公開日志系統的引用，以便將該證書記錄到日志中。同時，CA還需要將證書的哈希值提交給日志系統，以便進行查詢和審計。日志記錄必須具有不可篡改性、可驗證性和可審計性等特性。

• 作用：通過將所有頒發的SSL/TLS證書記錄到公開的證書日志系統中，任何人都可以查詢日志，驗證其中記錄的證書是否合法。如果發現有異常情況，例如虛假證書或自簽名證書，就可以及時采取措施阻止攻擊行為，有效地防止中間人攻擊。同時，也能檢測CA的濫用行為，若發現有大量虛假或欺詐性證書被頒發，可及時發現并追究相關責任人的法律責任。

• 支持情況：現代瀏覽器對于證書透明度的支持已經相當廣泛。例如，Chrome從版本68開始，要求所有新的網站證書必須遵守證書透明度政策；Firefox通過“安全連接失敗”頁面上的錯誤消息支持證書透明度；Safari也支持證書透明度，會檢查網站證書中的相關信息；隨著Edge轉向Chromium內核，也繼承了Chrome的證書透明支持；Opera基于Chromium內核，同樣支持證書透明度，并會執行相關驗證。
  注：至2021年，公開信任的TLS證書必須強制實現證書透明度，但其他類型的證書則未有相應要求。

CT審計的流程

• CA一旦向審計日志服務器提供證書，審計日志服務器就返回Signed Certificate Timestamp（以下簡稱SCT，證書簽署時間戳）。

• SCT是審計日志服務器在特定的時間內（Maximum Merge Delay（MMD）稱為最大延遲周期）用于保證證書數據格式化的時間戳信息。Web服務器之類的tls服務器將從審計日記里取得SCT，然后與證書一起在瀏覽器之類的tls客戶端里給出提示。這樣，Tls客戶端就會根據獲取的證書和SCT來確認審計日志中是否有該證書的記錄。

識別網站是否使用了CT技術

Reference

https://razeen.me/posts/what-ct-is-and-how-it-works/

https://blog.cloudflare.com/introducing-certificate-transparency-and-nimbus/

https://www.trustasia.com/view-certificate-transparency/