主要观点：

• 证书透明度（Certificate Transparency）生态系统自 2013 年起提升了网络 PKI 的透明度，Let's Encrypt 作为证书颁发者和日志操作符参与其中。
• 过去一年进行了名为“Sunlight”的实验以验证下一代证书透明度日志设计，该实验接近成功，新架构（Static CT API）效率更高，易于运行大型可靠的 CT 日志服务，且便于下载和共享数据。
• 现在“Sunlight 日志实现”及其他 Static CT API 日志实现有望投入生产使用，浏览器已接受其为公开披露和可访问的证书内容的保障手段。
• 新的 Static CT API 带来诸多变化和机会，包括新的 CT 日志操作符、CT 数据用户和软件开发者等方面，有助于提升互联网安全。

关键信息：

• 2013 年引入 CT 以应对用户检测证书机构不当行为的担忧，CT 日志使用加密追加式账本证明未删除或修改记录，目前有十多个 CT 日志服务。
• Static CT API 基于 sumdb 等设计，日志以简单的扁平文件集合形式表示和下载，从日志操作符角度更简单高效，运行成本降低。
• Let's Encrypt 运行的三个 Sunlight 日志表现良好，无传统 CT 日志的潜在失败模式，已证明其在实践中可行，浏览器已允许其申请成为公开信任的日志。
• 新架构带来新机遇，如新的 CT 日志操作员可运行日志并申请公开信任，CT 数据用户可更方便监测，软件开发者可开发相关工具。

重要细节：

• Let's Encrypt 过去一年运行三个 Sunlight 日志，记录自身颁发的证书，单个服务器可处理日志写入，实验期间保持高可用性，新日志有效合并延迟为零。
• 新架构下运行多个单独日志可能更可靠且资源需求降低，Let's Encrypt 未来将至少运行两个 Static CT API 日志并鼓励其他 CA 提交。
• 新的 Static CT API 对社区成员带来多方面影响，如日志操作员需考虑资源需求和稳定性，CT 数据用户需更新数据管道，软件开发者可开发相关工具。
• 浏览器对成为公开信任的 CT 日志有审核权，目前传统日志仍需下载以获取完整 CT 视图。