验证 Go 语言中的签名证书时间戳 (SCT) 的方法

编程并不是一个机械性的工作，而是需要有思考，有创新的工作，语法是固定的，但解决问题的思路则是依靠人的思维，这就需要我们坚持学习和更新自己的知识。今天golang学习网就整理分享《验证 Go 语言中的签名证书时间戳 (SCT) 的方法》，文章讲解的知识点主要包括，如果你对Golang方面的知识点感兴趣，就不要错过golang学习网，在这可以对大家的知识积累有所帮助，助力开发能力的提升。

我正在编写一个 Go HTTP 客户端应用程序，它需要验证 SCT 才能利用证书透明度。最新的 Go 版本是否自动支持此功能？您如何实现这一目标？

解决方案

这里有两个方面：

1. 从 tls 连接检索 sct
2. 根据 ct 日志验证 sct

检索 sct 在标准库中可以轻松完成，每个 RFC 6962 具有三种不同的情况：

• 作为叶证书本身的扩展
• 作为握手中的 tls 扩展
• 在 ocsp 响应中

所有这些都可以通过tls.ConnectionState在各自的领域获得：

• state.peercertificates[0].extensions，位于 id 为 asn1.objectidentifier{1, 3, 6, 1, 4, 1, 11129, 2, 4, 2} 的扩展名下
• state.signedcertificatetimestamps
• state.ocspresponse

这些仍然需要正确解析。

验证 sct 比较棘手，而且不属于标准库的一部分。这涉及以下内容：

• 拥有可信 ct 日志列表
• 查找其公钥用于签署 sct 的 ct 日志
• 验证签名
• 验证证书是否包含在 ct 的默克尔树中并检查时间戳

可以使用 certificate-transparency-go 实用程序将其拼凑在一起，但它们没有包含将其用作库的快速且简单的方法。

github.com/mberhault/go-sct 提供了一个试图使这一切变得更容易的库。它可以按如下方式用于在 https get 之后验证 sct：

免责声明：我是 github.com/mberhault/go-sct 的作者。

import "github.com/mberhault/go-sct"

// Verifying the SCTs after a HTTPS GET request.
resp, err := http.Get("https://www.certificate-transparency.org")
if err != nil {
    panic("get failed " + err.Error())
}

err = sct.CheckConnectionState(resp.TLS)
if err != nil {
    panic("SCT check failed " + err.Error())
}

可以对通过其他方法（在 tls.conn 上或在 tls.config.verifyconnection 回调中）获取的 tls.connectionstate 执行相同的操作。

今天带大家了解了的相关知识，希望对你有所帮助；关于Golang的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~