Est-ce qu'un tiers certificateur peut tracer les actions effectuées ?

Contrairement à une croyance populaire, la négociation SSL (= l'authentification) ne fait PAS appel au serveur du tiers certificateur. L'authentification du serveur est acceptée lorsque le certificat du serveur est signé par une entitée reconnue nativement par le navigateur (les certificats des tiers de certifications sont inclus dans les navigateurs SSL) ou parce que l'utilisateur du navigateur a ajouté le certificat du tiers certificateur à sa liste des certificateurs acceptés. La phase d'authentification permet également de vérifier que le serveur possède bien la clef publique et privée du certificat qu'il présente.

Tout cela pour dire que lorsqu'une session s'établit, il n'y a PAS de requêtes vers le tiers certificateur pour vérifier que le certificat du serveur est valide. Le tiers certificateur n'intervient pas, et il ne peut donc pas avoir de trace de l'activité du client ou du serveur.