我拥有一个使用 Let's Encrypt 证书的网站。它不在 Cloudflare 之后,它托管在 OVH,我接受来自它的直接流量。
现在,我设置了一个 apache2 网络服务器并使用 certbot 自动生成证书。这里的问题是,当我查看 Firefox 上的证书信息时,我可以在页面底部看到它包含对“Cloudflare Nimbus2023”的引用,尽管我没有使用他们的服务。
下面附上的图片就是它所显示的......
(由于某种原因它不允许我附上图片)
谁能给我解释一下这是什么?Cloudflare 在这里访问什么?
Nimbus2023 是一个证书透明度日志,由 Cloudflare 托管。基本上,CAB 要求所有颁发的证书都列在透明度日志中——而 CF 就是这样操作的。SCT 是签名证书时间戳 - Cloudflare 基本上表示他们在特定时间点看到了您的证书。这使得验证更容易,并且基本上形成了日志操作员的承诺,即在 24 小时内将证书包含在日志中。
SCT 的存在使此类日志操作员保持诚实 - 他们无法作弊,因为他们已公开承认知道该证书,并承诺将其包括在内。它还减少了隐私问题,因为浏览器不必在 CT 日志中查找证书。
这没什么好担心的。这是 LE 如何颁发证书的属性。密钥材料永远不会离开您的计算机,因此 CF(或 LE)无法解密您的流量。
如果您不希望您的证书出现在 CT 日志中,最好的办法是不要使用证书。更好的方法是信任运行 CA/Browser 论坛的人,让我们加密。他们非常了解 TLS 的工作原理以及如何确保其安全。