Blog GlobalSign

23 déc. 2014

Qu'est-ce que la transparence des certificats ?

Vous avez peut-être entendu parler de la transparence des certificats il y a quelques années de cela, lorsque Google a pris la décision de l'imposer aux certificats EV SSL émis après le 1er janvier 2015. Google a depuis élargi le champ d'application de cette exigence à l'ensemble des types de certificats SSL, et a annoncé récemment la date butoir d'avril 2018. Les certificats émis après cette date n’ayant pas la qualification de transparence des certificats (CT) ne seront plus acceptés par Google Chrome.

Nous avons travaillé dur chez GlobalSign afin que tous nos certificats soient conformes à la transparence des certificats – Validation étendue (EV) depuis 2015, validation de domaine (DV) depuis août 2016 et validation de l'organisation (OV) prévue pour octobre 2017. Ainsi, nos clients seront prêts pour la date butoir fixée par Google pour l'année prochaine.

En attendant, pour ceux d'entre vous qui se posent encore des questions au sujet de la transparence des certificats, voici quelques éclaircissements.

Remarque : Par souci de simplicité, nous emploierons le terme SSL au lieu de TLS dans ce blog (à une exception près) car il est davantage utilisé. Vous trouverez plus d'informations à ce sujet dans ce blog.

Qu'est-ce que la transparence des certificats ?

La transparence des certificats est un projet de surveillance et d'audit publics des émissions de certificats SSL. L'audit et la surveillance des émissions des Autorités de Certification permettent de détecter l'émission de certificats erronés ou illégitimes. Afin d'assurer la transparence des certificats, les Autorités de Certification publient leurs certificats sur les listes qualifiées de transparence des certificats accessibles au public. Les clients peuvent alors créer des moniteurs de liste qui surveillent les certificats émis pour leurs domaines et détectent les certificats incorrects ou illégitimes en un instant.

Il est impossible de modifier les listes de transparence. Il est seulement autorisé d'y ajouter des certificats. Et bien que tout le monde puisse y publier des certificats, les listes sont avant tout utilisées par les Autorités de Certification qui y publient leurs « pré-certificats ». Lorsqu'un pré-certificat est publié sur une liste, l'opérateur de la liste renvoie un sceau d'horodatage de certificat signé qui prouve que le certificat a bien été publié. Ce sceau d'horodatage peut être utilisé par les navigateurs pour valider la publication du certificat. Il peut être distribué aux navigateurs de diverses façons. Nous en parlerons plus en détails dans notre prochain billet qui sera plus technique.

Le projet de transparence des certificats décrits trois objectifs principaux :

  • Rendre impossible (ou au moins très difficile) pour les Autorités de Certification d'émettre un certificat SSL pour un domaine sans que le propriétaire de ce domaine n'en soit informé.

  • Offrir un système d'audit et de surveillance publics permettant à tout propriétaire de domaine ou à toute Autorité de Certification de déterminer si des certificats ont été émis par erreur ou dans un but malveillant.

  • Protéger les utilisateurs contre les certificats émis par erreur ou dans un but malveillant.

GlobalSign et les autres Autorités de Certification se préparent aux changements à venir et qui affecteront la façon dont les certificats EV SSL sont affichés.

Gardez un œil sur ce blog pour plus de billets sur la transparence des certificats, y compris sur les détails plus techniques et sur les implications pour les certificats EV SSL.

Partager ce blog