Qu’est-ce que Certificate Transparency ?
Certificate Transparency (CT) désigne un protocole ou framework ouvert de logs (ou journaux), de contrôleurs et d’auditeurs destiné à aider les propriétaires de domaines à maintenir une bonne visibilité sur les certificats numériques émis pour leur marque. Les logs CT permettent aux propriétaires de domaines de trouver plus facilement les certificats non autorisés ou émis par erreur – et contribuent donc à la protection de leur marque. En parallèle, les entités émettrices de certificats, telles que les autorités de certification (AC), enregistrent les certificats à des fins de conformité.
DigiCert prend en charge CT, car la détection précoce des certificats émis par erreur est essentielle – tant pour les opérateurs de serveurs que pour les utilisateurs. À ce titre, CT constitue une avancée majeure pour le secteur et met en valeur les autorités de certification qui respectent les bonnes pratiques d’émission de certificats. Dans cet esprit, nous nous engageons à suivre en permanence les standards les plus stricts en matière de vérification des identités et de délivrance de certificats numériques à haute assurance.
Quels sont les avantages de Certificate Transparency ?
Détection anticipée : il est possible de détecter les certificats non autorisés quelques heures seulement après leur émission, et non au bout de plusieurs jours, semaines voire mois. Les propriétaires de domaines peuvent ainsi identifier n’importe quel certificat émis sans autorisation expresse ou hors du cadre de leur politique de domaine.
Résolution plus rapide des problèmes : grâce à CT, les utilisateurs peuvent identifier les certificats à révoquer et communiquer rapidement avec l’AC émettrice pour une révocation accélérée.
Visibilité maximisée : CT dévoile publiquement des informations sur le système SSL/TLS. Toute personne qui le souhaite peut donc examiner et vérifier l’intégrité du système. Les utilisateurs peuvent également comparer les processus d’émission entre les différentes autorités de certification.
Sécurité renforcée : en apportant de la transparence sur l’émission des certificats et en informant les utilisateurs sur le portfolio de certificats émis, CT renforce la chaîne de confiance et garantit la sécurité en ligne de tout un chacun.
Quel est l’objectif de Certificate Transparency ?
La réussite de Certificate Transparency repose sur le soutien de différentes parties prenantes – autorités de certification, navigateurs, propriétaires de marques et sociétés indépendantes gérant des logs CT publics.
Dans ce contexte, l’objectif de CT est double. D’un côté, les autorités de certification enregistrent tous les certificats TLS/SSL dans plusieurs logs CT accessibles au public et gérés par des sociétés indépendantes. Ainsi, les navigateurs peuvent se fier uniquement aux certificats qui ont été enregistrés. De l’autre, les propriétaires de domaines et les parties intéressées sont en mesure de surveiller ces logs CT dans l’optique de détecter les certificats non autorisés ou émis par erreur.
DigiCert souhaite aller plus loin dans la vérification des certificats. De fait, nous sommes convaincus que des standards de validation plus stricts sont nécessaires pour s’assurer que chaque certificat émis a été autorisé par l’organisation propriétaire du domaine ou de la marque. Si CT ne fournit cette confirmation qu’une fois l’émission terminée, nous considérons la journalisation CT comme un élément clé de la validation des certificats TLS/SSL et comme un complément à la vérification de l’identité du demandeur déjà requise par les exigences de base du CA/Browser Forum.
