基于PKI数字证书的电子认证服务已经在在政务、金融、商贸、医疗等领域得到广泛应用。但部分电子认证服务机构服务不规范等问题引发社会关注，影响人民群众切身利益。

为进一步规范电子认证服务，切实维护群众合法权益，一方面，近期工信部组织开展电子认证服务合规性专项整治工作，本次专项整治工作主要面向工信部许可的55家电子认证服务机构自2017年7月起提供的电子认证服务。另一方面，证书透明化（Certificate Transparency，CT）机制再次被提出，该机制可用于及时发现虚假证书和提高对CA机构的问责能力。

CT基本思想是将所有CA签发的证书记录在公开可访问的日志中，客户端（如浏览器）只接受公开发布的证书，其目的是使CA签发的所有证书开放可见，能够被公开监视、审计；虚假证书一旦公开发布，就可以被及时发现。相比传统PKI系统，CT引入以下三个新组件：分别是日志服务器（Log Server）、监视器（Monitor）和审计器（Auditor）。

图1 证书透明化（CT）框架

目前，CT在国际上已实现了广泛部署与大规模应用，当前国际主流CA机构(例如，DigiCert，Comodo，GlobalSign，GoDaddy，Let’s Encrypt，以及国内CA机构亚洲诚信TrustAsia和360公司等)都已经支持CT机制。谷歌联合各大CA机构在全球范围内部署了近百个公共日志服务器用于CA机构或任何利益相关方提交证书信息，当前累计已记录超百亿条证书信息。以国内CA机构亚洲诚信部署的TrustAsia系列日志服务器为例，截止2022年8月，该日志已记录了超过150万条证书信息。

图2 国际证书透明化应用及部署现状

笔者认为，当前国内55家CA均具有开放OCSP（在线证书查询服务），已具备构建CT的基础设施，CT能够让CA、企业、组织、国家机关深度参与PKI体系建设，对提升全社会安全理念、构建安全的数字社会意义重大。