Certificate Transparency (CT)

Transparence et detection des certificats frauduleux.

Certificate Transparency est un framework de securite qui enregistre publiquement tous les certificats SSL emis. Cela permet de detecter les certificats frauduleux ou errones emis pour votre domaine.

Depuis 2018, tous les certificats doivent etre enregistres dans les CT logs pour etre acceptes par Chrome. C'est une protection fondamentale contre les CA compromises.

Ce guide explique comment CT fonctionne et comment surveiller les certificats emis pour vos domaines.

Fonctionnement de CT

Les composants de Certificate Transparency :

  • CT Logs : des journaux publics append-only qui enregistrent chaque certificat emis.
  • SCT : Signed Certificate Timestamp, preuve d'enregistrement dans un log.
  • Monitors : services qui surveillent les logs pour detecter les anomalies.
  • Auditors : verifient l'integrite des logs et la presence des SCT.

Avantages de CT

Pourquoi CT est essentiel :

  • Detection rapide : decouvrez immediatement si un certificat frauduleux est emis pour votre domaine.
  • Responsabilite des CA : les CA ne peuvent plus emettre de certificats en secret.
  • Preuve d'emission : chaque certificat a une preuve cryptographique d'enregistrement.
  • Transparence : n'importe qui peut auditer les logs publics.

Surveiller vos Domaines

Comment surveiller les certificats emis pour vos domaines :

  1. Inscrivez-vous a un monitor : utilisez crt.sh, Facebook CT Monitor, ou Cert Spotter.
  2. Configurez les alertes : recevez une notification pour chaque nouveau certificat.
  3. Verifiez la legitimite : assurez-vous que les certificats detectes sont bien les votres.
  4. Reagissez rapidement : en cas de certificat frauduleux, demandez la revocation immediatement.

Outils de Surveillance

Commandes et outils pour CT :

# Rechercher les certificats pour un domaine sur crt.sh
curl "https://crt.sh/?q=%.example.com&output=json" | jq .

# Verifier les SCT d'un certificat
openssl s_client -connect example.com:443 2>/dev/null | \
  openssl x509 -text | grep -A 20 "CT Precertificate"

# Utiliser ct-exposer pour surveiller
# https://github.com/AltDNS/ct-exposer
ct-exposer -d example.com

crt.sh est le moteur de recherche le plus utilise pour les CT logs.

Bonnes Pratiques

Tirez le meilleur parti de CT :

  • Surveillez vos domaines : inscrivez tous vos domaines a un service de monitoring CT.
  • Incluez les sous-domaines : surveillez *.votredomaine.com pour couvrir tous les sous-domaines.
  • Reagissez vite : en cas de certificat frauduleux, agissez dans l'heure.
  • Documentez les legitimes : gardez une liste des certificats attendus pour faciliter la verification.

Checklist CT

  • Domaines inscrits a un monitor CT
  • Alertes email configurees
  • Sous-domaines inclus
  • Procedure de revocation documentee
  • Liste des certificats legitimes maintenue
  • Surveillance globale avec MoniTao

Questions Frequentes

CT revele-t-il des sous-domaines secrets ?

Oui, tous les certificats sont publics. Utilisez des wildcards si vous voulez cacher les sous-domaines.

Puis-je eviter CT ?

Non, depuis 2018 les certificats sans CT ne sont pas acceptes par Chrome.

Qu'est-ce que crt.sh ?

Un moteur de recherche gratuit qui indexe tous les CT logs publics.

Comment fonctionne le SCT ?

Le log signe un timestamp prouvant l'enregistrement. Le SCT est inclus dans le certificat.

Que faire si je detecte un certificat frauduleux ?

Contactez immediatement la CA emettrice pour demander la revocation.

Les CT logs sont-ils fiables ?

Oui, ils utilisent des structures cryptographiques (Merkle trees) qui rendent la falsification impossible.

CT : Protection Essentielle

Certificate Transparency est une avancee majeure pour la securite SSL. Surveillez vos domaines pour detecter toute emission suspecte.

Combinez la surveillance CT avec MoniTao pour une protection complete de votre infrastructure SSL.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs