文章建议有闲置存储和带宽的组织或工程师考虑运行证书透明度（CT）日志，以增强网络安全。CT技术确保证书颁发机构的诚信，并通知网站所有者未经授权的证书颁发。目前独立日志运营商较少，运行CT日志对全球互联网用户的安全贡献巨大，且能提升个人或组织的技术声誉。

文章主要内容总结：

标题：你应该运行一个证书透明度日志（Certificate Transparency Log）

发布时间：2025年7月7日

核心观点：文章呼吁有闲置存储和带宽资源的组织或个人考虑运行证书透明度日志（CT Log），并强调了其重要性、成本效益和操作简便性。

1. 证书透明度（CT）的重要性

• CT是支撑整个Web安全的关键技术之一，确保证书颁发机构（CA）的诚实性，并允许网站所有者及时获知未经授权的证书颁发。
• CT帮助WebPKI从“最薄弱环节”的讽刺转变为数字生活安全的坚实基础。

2. CT日志的分布式特性

• CT本质上是一个分布式系统，CA必须将每个证书提交到由第三方运营并受浏览器信任的两个CT日志。
• 目前独立日志运营者数量不足，运行CT日志将对几乎所有互联网用户的安全做出巨大贡献。

3. 运行CT日志的成本与简便性

• 过去运行CT日志既复杂又昂贵，但新的静态CT API和Sunlight实现改变了这一现状。
• 静态CT API使得CT日志的读取路径可以通过静态文件（如S3和CDN）提供服务，大大降低了成本。
• Sunlight是由Let’s Encrypt赞助的实现，支持将静态CT资产直接上传到对象存储或存储在POSIX文件系统中。

4. 运行CT日志的技术要求

• 服务器：只需一台服务器，无需分布式系统。
• CPU和内存：四核和2GB内存即可，但必须使用ECC内存。
• 带宽：2-3 Gbps出站带宽。
• 存储：3-5 TB的SSD存储或S3兼容对象存储，外加200 GB的SSD缓存。
• 人员：至少两人，负责监控和更新日志。

5. 日志的持久性与维护

• 持久性是首要任务，确保数据一旦写入磁盘或对象存储后不会丢失。
• 日志运营者需要定期更新日志实现，每年轮换日志时间分片，并监控相关政策和邮件列表。

6. 如何加入CT日志运营

• 文章鼓励有兴趣的组织或个人加入CT日志运营，并提供了详细的Sunlight README和社区资源（如Slack、邮件列表和GitHub问题跟踪器）。
• 社区欢迎新的日志运营者，并鼓励他们在开始前提出问题或分享计划。

7. Geomys的支持

• Geomys是作者的开源维护组织，由多家公司（如Smallstep、Ava Labs、Teleport等）资助，确保开源项目的可持续性和可靠性。

8. 未来展望

• 随着短期证书和后量子签名的发展，CT日志的要求可能会增加，但社区已经提出了多种解决方案（如Merkle Tree Certificates和Verifiable Indexes）来缓解潜在负担。

结论：运行CT日志不仅对互联网安全至关重要，而且成本低、操作简便，值得有资源的组织或个人积极参与。

主要观点总结：

1. Sunlight和static-ct-api的创新性

   • 观点：Sunlight和static-ct-api为CT日志领域带来了新的简化方案，解决了传统CT日志实现复杂且成本高昂的问题。
   • 论据：传统CT日志基于数据库，追求高写入可用性，导致操作复杂且费用高昂（部分运营商每年花费超过10万美元），进而引发了一系列CT日志故障。
   • 引用：
     • "Sunlight and static-ct-api are a breath of fresh air in the CT log space."
     • "This made operating a CT log difficult and expensive (some operators were spending upwards of $100k/year)."

2. CT日志的存储责任问题

   • 观点：CT日志服务器是否应负责存储数据存在争议，有人认为发布者应自行存储日志。
   • 论据：CT日志服务器可以仅负责签名和推进日志，发布者应存储其提交的最新条目。
   • 引用：
     • "Couldn't it just be responsible for its own key and signing incremental advances to a log that all publishers are responsible for storing?"
     • "If it needed to restart and some last publisher couldn't give it its latest entries, well they would deserve that rollback."

3. 区块链技术的适用性

   • 观点：CT系统是否适合使用区块链技术存在分歧，有人认为区块链可能不适用于此场景。
   • 论据：区块链可能不适合处理大量数据，但有人认为激励机制可以推动服务器运行，类似于区块链。
   • 引用：
     • "Add an incentive mechanism to motivate run a server, and hey it's a blockchain."
     • "Is this actually a good use case for (gasp) blockchains? Or would it be too much data?"

4. DANE与CT系统的对比

   • 观点：有人认为DANE（基于DNS的认证）是未来的发展方向，而非支持中心化的CA系统。
   • 论据：DANE可以提供更去中心化的信任机制，而CT系统仍然依赖中心化的CA。
   • 引用：
     • "Instead of mainstreaming DANE, you want me to help a bunch of centralized CAs? No thanks."
     • "DANE is the future, it will happen."

5. CT日志的带宽需求质疑

   • 观点：对CT日志所需的带宽（2-3 Gbps）表示怀疑，认为这一数字可能不准确。
   • 论据：作者不确定如此高的带宽是否真的必要。
   • 引用：
     • "I am not sure if this is correct, is 2-3Gbps really required for CT?"

6. CA系统的审计问题

   • 观点：CA系统缺乏有效的审计机制，导致消费者和发布者对证书的信任问题。
   • 论据：SSL/TLS在防止窃听方面表现良好，但在建立信任和身份方面存在不足。
   • 引用：
     • "Is any amateur or professional auditing done on the CA system?"
     • "SSL/TLS has done well to prevent eavesdropping, but it hasn't done well to establish trust and identity."

7. Google的联系人政策争议

   • 观点：对Google要求CT日志运营商提供联系人信息的政策表示不满，认为Google自身难以联系。
   • 论据：Google要求至少两名联系人，但作者认为除非Google也提供相同的信息，否则不会提供联系人信息。
   • 引用：
     • "This is rich. Imagine a company that famously can't be contacted by humans wanting - no, expecting - to be able to reach someone at their leisure."
     • "I'd consider running a CTL, but I'd never give contact information to the likes of Google unless I got the same in return."

8. 存储技术的替代方案

   • 观点：Arweave等区块链存储技术可能适用于CT日志的长期存储。
   • 论据：Arweave的费用模型可以支持长期存储，且费用已被计算为足以覆盖存储增长的成本。
   • 引用：
     • "Seems like something that might be useful to store on Arweave a block chain for storage."
     • "Fees go to an endowment that’s has been calculated to far exceed the cost of growing storage."

总结：

评论主要围绕CT日志系统的创新、存储责任、区块链适用性、DANE的未来、带宽需求、CA审计、Google政策以及存储技术替代方案展开。不同观点之间存在较大分歧，尤其是在区块链和DANE的适用性上。