Certificate Transparency : des journaux public en ajout seul pour améliorer la sécurité de TLS

La technologie "Certificate Transparency" vise à faciliter la détection de certificats frauduleux ou invalides par la journalisation, en lecture pour tous, des certificats émis par les autorités reconnues par les navigateurs. Cette présentation s’attache à détailler les mécanismes de « Certificate Transparency », ainsi que les divers outils à disposition des titulaires de noms de domaine et gestionnaires de sites web, qui sont d’ores et déjà invités à prendre en main cette technologie incontournable.

Certificate Transparency vise à renforcer les contrôles sur les certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF.

L’objectif de cette technologie est de faciliter la détection de certificats frauduleux ou invalides. Pour cela, les certificats émis par les autorités de certification reconnues par les navigateurs sont enregistrés dans des journaux en ajout seul.

Les titulaires de noms de domaines sont invités à consulter ces journaux, lister les certificats émis pour leurs noms de domaine, et finalement d’identifier et de rapporter tout certificat qui aurait été émis sans leur accord. Divers outils sont à leur disposition, pour ce faire, dont :

l’outil libre CertSpotter, de SSLMate
le service Certificate Monitoring de Digicert
le service CRT.SH de Comodo
les outils de Google

À ce jour, la prise en charge de Certificate Transparency est généralement optionnelle. À partir d’octobre 2017, le navigateur Chrome la rendra néanmoins obligatoire pour tous les nouveaux certificats. Les gestionnaires de sites web sont donc invités à prendre en main la technologie, dès à présent.

pdf
Certificate Transparency : des journaux public en ajout seul pour améliorer la sécurité de TLS
937.97 Ko