Transparence du certificat

Une exploration de la transparence des certificats (CT), de son importance, des développements récents et des orientations futures de la sécurité Web.

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Copier le lien de l'article

Certificate Transparency (CT) est un cadre ouvert et un protocole de sécurité initié par Google pour améliorer l'intégrité et la fiabilité du SSL/TLS Système de certification. Son objectif principal est de détecter et d'empêcher l'utilisation abusive de certificats SSL, que ce soit par émission erronée par des autorités de certification (AC) ou par acquisition malveillante auprès d'AC pourtant réputées.

L’importance continue de la tomodensitométrie

Le CT reste un élément essentiel pour le maintien de la sécurité Web. Il permet à divers intervenants (y compris les navigateurs, les autorités de certification, les propriétaires de domaines et les chercheurs en sécurité) de vérifier que les certificats sont émis correctement et d'identifier les vulnérabilités ou attaques potentielles dans l'écosystème des certificats.

Comment fonctionne la tomodensitométrie : un rappel

  • Journaux de certificats:Les autorités de certification publient les certificats nouvellement émis sur des serveurs de journaux accessibles au public et réservés aux ajouts.
  • Horodatages des certificats signés (SCT):Lorsqu'un certificat est enregistré, le serveur de journalisation émet un SCT comme preuve de l'inclusion du certificat.
  • Surveillance et audit:Des services indépendants surveillent en permanence les journaux pour détecter toute activité suspecte et vérifient leur intégrité.

Développements récents et adoption par l’industrie

Depuis sa création, la CT a connu une adoption généralisée et un perfectionnement continu :

  • Exigence universelle:Depuis le 30 avril 2018, Google Chrome exige la certification CT pour tous les certificats de confiance publique. Cette politique a été largement adoptée par d'autres navigateurs majeurs.
  • Croissance de l'écosystème logarithmique:Le nombre de journaux CT qualifiés a augmenté, améliorant la robustesse et la fiabilité du système.
  • Intégration avec d'autres mesures de sécurité:CT est de plus en plus utilisé en conjonction avec d’autres protocoles de sécurité tels que les enregistrements CAA (Certificate Authority Authorization) et DANE (DNS-based Authentication of Named Entities) pour créer un cadre de sécurité plus complet.
Sécurisez votre présence en ligne avec SSL.com
SSL.com propose une offre complète de services SSL/TLS des solutions de certification entièrement conformes aux exigences CT et qui s'intègrent parfaitement à votre infrastructure existante.

Comment ça marche

Répondre aux préoccupations en matière de confidentialité

Bien que la transparence des certificats améliore considérablement la sécurité, elle soulève certaines préoccupations en matière de confidentialité :

Énumération de domaine:La nature publique des journaux CT signifie que les attaquants pourraient potentiellement les utiliser pour cartographier l'infrastructure d'une organisation.

Stratégies d'atténuation :

  • Utilisation de certificats génériques (par exemple, *.example.com):Obscurcit des sous-domaines spécifiques, contribuant ainsi à limiter l'exposition de la structure interne des sous-domaines.
  • Mise en œuvre privée PKI solutions pour systèmes internes sensibles:Offre davantage de contrôle sur l’émission de certificats et la confiance au sein des environnements internes.
  • Utilisation des techniques de rédaction CT: Limite l'exposition des informations sensibles des sous-domaines dans les journaux de transparence des certificats.
  • Rédaction de certificat:Utilise des techniques de rédaction CT pour masquer des sous-domaines spécifiques dans les journaux de transparence des certificats.
  • Réémission et renouvellement de clés réguliers:Réémission fréquente de certificats et rotation des clés pour maintenir la sécurité tout en évitant la complexité temporaire des certificats.
  • Sous-domaines randomisés:Utilise des noms de sous-domaines non descriptifs ou aléatoires pour masquer le but et la structure des systèmes internes.
  • DNS à horizon divisé:Empêche les noms de domaine internes d'être résolus en externe, gardant les systèmes internes cachés.
  • Suivi des journaux CT:Surveille activement les journaux de transparence des certificats pour détecter et traiter rapidement l'émission de certificats non autorisés.
  • Enregistrements d'autorisation de l'autorité de certification (CAA):Configure les enregistrements DNS CAA pour restreindre les autorités de certification pouvant émettre des certificats pour vos domaines.
  • Client crypté Hello (ECH): Crypte l'indication du nom du serveur (SNI) pendant la TLS poignée de main, protégeant les informations du sous-domaine contre l'interception.
  • Sécurité de la couche applicative: Met en œuvre des mesures de sécurité supplémentaires telles que la sécurité mutuelle TLS (mTLS) ou un cryptage au niveau de l'application pour protéger les données sensibles au-delà de SSL/TLS certificats.
  •  

Impact sur la gestion des certificats

Pour la plupart des utilisateurs et des organisations, la CT fonctionne de manière transparente en arrière-plan. Cependant, il convient de prendre en compte certains éléments :

  • Gestion du cycle de vie des certificats:Les organisations doivent être conscientes du statut CT de leurs certificats et garantir la conformité aux exigences du navigateur.
  • Outils de surveillance:De nombreuses plateformes de gestion de certificats proposent désormais la surveillance des journaux CT en tant que fonctionnalité, permettant aux organisations de suivre leurs certificats et de détecter les émissions non autorisées.

Directions futures

À mesure que la tomodensitométrie continue d’évoluer, nous pouvons nous attendre à :

  • Intégration améliorée:Intégration plus poussée de CT avec d’autres normes et protocoles de sécurité Web.
  • Fonctionnalités de confidentialité améliorées:Développement de méthodes plus sophistiquées pour équilibrer la transparence et les préoccupations en matière de confidentialité.
  • Expansion au-delà du Web PKI:Application potentielle des principes de CT à d’autres domaines de la cybersécurité, tels que la signature de code ou le cryptage des e-mails.

Conclusion

La transparence des certificats contribue de manière significative à un Internet plus sûr et plus transparent. À mesure que le protocole continue de mûrir, il jouera un rôle de plus en plus essentiel dans la défense contre les cybermenaces et le maintien de l'intégrité des communications en ligne.

Pour plus d'informations ou pour des questions spécifiques sur la mise en œuvre de CT dans votre organisation, consultez votre autorité de certification ou n'hésitez pas à nous contacter ici ventes@ssl.com.

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

SSL.com

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.

Répondre au sondage
Aperçu de la confidentialité
SSL.com

Ce site utilise des cookies afin que nous puissions vous offrir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre quelles sections du site Web vous trouvez les plus intéressantes et utiles.

Pour plus d'informations, lisez notre Cookie et déclaration de confidentialité.

3rd Party Cookies

Ce site utilise Google Analytics & compteur statistique pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus consultées.

Garder ces cookies activés nous aide à améliorer notre site Web.

Afficher les détails
Sécurité accrue. Efforts réduits. Succès durable.  Conformité aux cookies GDPR