Qu’en est-il de la prise en charge de Certificate Transparency (CT) pour les logs, les navigateurs et les autorités de certification ?
Logs
Depuis le mois de fĂ©vrier 2018, ¶şŇőąÝ soumet par dĂ©faut tous les certificats TLS/SSL nouvellement Ă©mis et publiquement approuvĂ©s Ă des logs Certificate Transparency. Ce changement visait Ă anticiper l’exigence sectorielle imposĂ©e par Google, qui est entrĂ©e en vigueur en avril 2018. L’objectif Ă©tait ici de renforcer la sĂ©curitĂ© de nos clients, tout en encourageant l’adoption. Pour rappel, avant 2018, la journalisation Ă©tait uniquement requise pour les certificats EV.
Actuellement, ¶şŇőąÝ gère son propre log CT, qui est Ă©galement utilisĂ© par Google. En pratique, l’inclusion d’un log exige une disponibilitĂ© Ă©levĂ©e, confirmĂ©e par une pĂ©riode de test de 90 jours. Si un log ne satisfait pas Ă ces exigences strictes, il est considĂ©rĂ© comme non fiable. Dans cette optique, ¶şŇőąÝ a pris des prĂ©cautions supplĂ©mentaires afin que son log soit suffisamment robuste pour gĂ©rer le volume de tous les certificats Ă©mis.
Navigateurs
Chrome – Chrome a commencé à prendre en charge CT début 2014. Cette exigence s’applique aujourd’hui à toutes les autorités de certification émettant des certificats.
Pour un certificat d’un an, Google exigeait des preuves CT issues de deux logs indĂ©pendants. Pour un certificat de deux ans dĂ©livrĂ© avant que les certificats d’un an ne deviennent la norme en 2020, il fallait produire des preuves CT provenant d’au moins trois logs indĂ©pendants. Afin de faciliter la transition pour les autoritĂ©s de certification, Google a temporairement assoupli son exigence d’indĂ©pendance, en autorisant l’inclusion de deux preuves issues des logs Google et d’une autre provenant du log ¶şŇőąÝ. Cette dĂ©cision avait pour but de garantir un nombre suffisant de logs opĂ©rationnels en laissant le temps Ă davantage d’autoritĂ©s de certification et de parties intĂ©ressĂ©es de crĂ©er des logs.
Firefox – Actuellement, Firefox ne vérifie et ne requiert pas l’utilisation de logs CT pour les sites que les utilisateurs visitent.
Safari – Apple divers SCT (Signed Certificate Timestamp) pour que Safari et d’autres serveurs se fient à des certificats serveur.
Autorités de certification :
Selon la note de l’Internet Engineering Task Force (IETF), il est prévu que les autorités de certification publiques enregistrent tous leurs nouveaux certificats dans un ou plusieurs logs. Cependant, les détenteurs de certificats, tout comme les tierces parties, peuvent mettre en place leurs propres chaînes de certificats.
Depuis janvier 2015, toutes les principales autoritĂ©s de certification enregistrent les certificats EV Ă©mis sur des serveurs de journalisation CT. Et toute autoritĂ© de certification Ă©mettant des certificats EV se doit d’utiliser les deux logs Google disponibles ainsi que le log ¶şŇőąÝ pour se conformer aux directives de Google.
Comment l’AC ¶şŇőąÝ assure-t-elle la conformitĂ© Ă Certificate Transparency ?
CT renforce le système des certificats TLS/SSL en créant des enregistrements publiquement vérifiables dans le cadre de l’émission des certificats. Depuis 2015, Google exige des autorités de certification qu’elles enregistrent les certificats EV dans des logs CT publics. Et depuis avril 2018, le géant du web impose également aux autorités de certification d’enregistrer les certificats OV et DV dans des logs CT publics.
¶şŇőąÝ publie tous les nouveaux certificats TLS/SSL publics dans des logs CT publics depuis le 1er fĂ©vrier 2018. Ce changement est sans incidence sur les certificats OV ou DV Ă©mis avant le 1er fĂ©vrier 2018.
Navigateurs avec politiques Certificate Transparency :
Depuis , Google exige des autorités de certification qu’elles assurent la journalisation de tous les certificats TLS/SSL (EV, OV et DV).
De son côté, Apple applique la même exigence depuis le 15 octobre 2018.
Comment le protocole Certificate Transparency a-t-il été créé ?
En 2011, une autorité de certification néerlandaise baptisée DigiNotar a été piratée. L’attaque a abouti à la création de plus de 500 certificats frauduleux émis par la racine de confiance de DigiNotar. Les attaquants ont utilisé ces certificats pour imiter de nombreux sites, notamment Google et Facebook, et pour mener des attaques par interception (MITM) à l’encontre d’utilisateurs peu méfiants.
Ce cas est venu s’ajouter Ă d’autres incidents de grande envergure impliquant des certificats Ă©mis frauduleusement ou par erreur par des autoritĂ©s de certification (autres que ¶şŇőąÝ). C’est pourquoi Google a dĂ©cidĂ© de se pencher sur de nouvelles solutions. Deux ingĂ©nieurs, Ben Laurie et Adam Langley, ont ainsi trouvĂ© l’idĂ©e de Certificate Transparency et ont commencĂ© Ă dĂ©velopper le framework en tant que projet open source. En 2012, en collaboration avec l’IETF, ils ont crĂ©Ă© une version prĂ©liminaire esquissant les grandes lignes de Certificate Transparency et, en 2013, ils ont publiĂ© une RFC.
En 2013, Google a lancé deux logs publics et fait part de sa volonté d’exiger CT pour tous les certificats SSL EV dans Google Chrome.
DĂ©but 2012, ¶şŇőąÝ a commencĂ© Ă expĂ©rimenter l’intĂ©gration CT et Ă donner son avis sur les implĂ©mentations CT proposĂ©es. En septembre 2013, ¶şŇőąÝ est devenue la première autoritĂ© de certification Ă mettre en Ĺ“uvre CT dans ses systèmes. En octobre de la mĂŞme annĂ©e, l’entreprise est Ă©galement devenue la première autoritĂ© de certification Ă offrir aux clients la possibilitĂ© d’intĂ©grer des preuves CT dans des certificats SSL.
En septembre 2014, ¶şŇőąÝ a soumis un log privĂ© Ă Google afin qu’il soit inclus dans Google Chrome. Le log ¶şŇőąÝ a Ă©tĂ© acceptĂ© le 31 dĂ©cembre 2014. ¶şŇőąÝ a Ă©tĂ© la première autoritĂ© de certification Ă crĂ©er un log CT.
