Certificate Transparency (CT) est un projet lancé par Google, visant à éliminer diverses failles structurelles dans le système de certificat SSL. CT permet à quiconque de détecter les certificats SSL qui ont été émis par erreur par une autorité de certification (CA), ou acquis de manière malveillante auprès d'une autorité de certification autrement irréprochable. Les navigateurs, les autorités de certification et d'autres parties peuvent utiliser CT (en plus d'autres techniques existantes) pour confirmer qu'un certificat a été correctement émis et ainsi renforcer la confiance.
CT vise à rendre la délivrance et l'existence de certificats SSL des informations ouvertes et facilement accessibles - transparentes, si vous voulez.
Cela permet à CT de servir de «chien de garde de l'autorité de certification» pour s'assurer que les autorités de certification fonctionnent comme prévu, car CT rend très difficile pour une autorité de certification d'émettre un certificat à l'insu du propriétaire du domaine. Les propriétaires de sites Web peuvent interroger les serveurs CT pour s'assurer que les parties malveillantes n'ont émis aucun certificat pour leurs sites Web.
CT a été créé dans le but de renforcer la sécurité Internet globale en créant un cadre ouvert pour la surveillance du SSL /TLS système de certificats. Cette transparence peut aider à protéger les utilisateurs et les sites Web contre les certificats incorrects ou frauduleux.
Les autorités de certification publient les certificats qu'elles émettent dans des services réseau simples, appelés * journaux de certificats *. Les journaux de certificats conservent des enregistrements cryptographiques, vérifiables publiquement et en annexe uniquement des certificats émis. Tout le monde peut les interroger ou soumettre de nouvelles informations.
Essentiellement, lorsqu'un serveur de journaux CT reçoit un nouveau certificat, il répond avec un horodatage du certificat signé (SCT). Ce SCT est utilisé comme preuve de la date de délivrance, généralement en le joignant au certificat délivré. (Il existe plusieurs façons de fournir des SCT - mais c'est pour un article plus détaillé.)
Il est important de noter qu'un certificat est stocké dans un journal pour toujours - des éléments peuvent être ajoutés à un journal assez facilement, mais la suppression est impossible; même pour les certificats expirés.
Les journaux CT sont vérifiés périodiquement par des services CT indépendants spécifiés dans la conception CT, à savoir moniteurs (qui surveillent les certificats suspects) et vérificateurs (qui vérifie que les journaux sont fiables). Les moniteurs peuvent être gérés par des autorités de certification ou d'autres tiers, tandis que les auditeurs sont en fait intégrés aux navigateurs.
Beaucoup plus d'informations sur le fonctionnement de CT peuvent être trouvées ici.
Les certificats de validation étendue (EV) sont requis pour prendre en charge CT depuis 2015, lorsque Google l'a imposé pour tous ces certificats.
CT a déjà été appliqué à quelques certificats non EV - par exemple, tous les certificats émis par Symantec depuis juin 2016 ont dû utiliser CT, en raison des problèmes qu'ils ont rencontrés.
Enfin, Google a commencé à appliquer la transparence des certificats dans Chrome pour tous les certificats, y compris la validation de domaine (DV) et la validation d'organisation (OV) le 30 avril 2018. Depuis lors, tous les certificats de confiance publique doivent être associés à un SCT à partir d'un CT qualifié. Journal. Google répertorie ces journaux qualifiés. ici.
Bien que CT puisse améliorer le SSL /TLS la sécurité et la confiance, comme toute nouvelle technologie, elle peut également avoir des conséquences involontaires. Les journaux CT peuvent être consultés par n'importe qui, y compris les attaquants malveillants. Tout le monde peut rechercher dans ces journaux des certificats protégeant d'importants domaines connectés à Internet, tels que les serveurs proxy ou les points d'entrée VPN. Obtenez ainsi un aperçu de la structure du réseau d'autres organisations.
Ces informations ne sont généralement pas suffisantes pour compromettre la sécurité d'une organisation, mais elles peuvent fournir un effet de levier à un attaquant ou un chemin d'attaque plus facile vers un réseau.
Pour les applications sensibles où la structure interne du réseau ne doit pas être divulguée, les clients SSL.com peuvent:
1. obtenir un certificat de domaine générique (par exemple, «* .example.com»), à condition qu'ils puissent démontrer un contrôle complet sur un domaine, ou
2. Pensez à acheter un en privé confiance PKI plan, puisque tel PKIs ne sont pas obligés d'adhérer au CT.
En cas de doute, veuillez contacter un expert à Support@SSL.com dès maintenant et discutez d'un PKI plan qui répond à vos besoins.
Pas du tout - en tant que client, vous n'aurez PAS besoin de faire quoi que ce soit différemment. CT se produit «dans les coulisses» du point de vue d'un utilisateur, et SSL.com (ou notre partenaire USERTrust) exécutera toutes les étapes requises pour garantir que votre certificat répond aux normes CT et fonctionne comme prévu.
