Certificate Transparency : des journaux public en ajout seul pour améliorer la sécurité de TLS

La technologie "Certificate Transparency" vise à faciliter la détection de certificats frauduleux ou invalides par la journalisation, en lecture pour tous, des certificats émis par les autorités reconnues par les navigateurs. Cette présentation s’attache à détailler les mécanismes de « Certificate Transparency », ainsi que les divers outils à disposition des titulaires de noms de domaine et gestionnaires de sites web, qui sont d’ores et déjà invités à prendre en main cette technologie incontournable.

Publié le 13 Décembre 2016 Mis à jour le 13 Décembre 2016

 

Certificate Transparency vise à renforcer les contrôles sur les certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l'IETF.

L'objectif de cette technologie est de faciliter la détection de certificats frauduleux ou invalides. Pour cela, les certificats émis par les autorités de certification reconnues par les navigateurs sont enregistrés dans des journaux en ajout seul.

Les titulaires de noms de domaines sont invités à consulter ces journaux, lister les certificats émis pour leurs noms de domaine, et finalement d'identifier et de rapporter tout certificat qui aurait été émis sans leur accord. Divers outils sont à leur disposition, pour ce faire, dont :

 

À ce jour, la prise en charge de Certificate Transparency est généralement optionnelle. À partir d'octobre 2017, le navigateur Chrome la rendra néanmoins obligatoire pour tous les nouveaux certificats. Les gestionnaires de sites web sont donc invités à prendre en main la technologie, dès à présent.