Menu
picture of tbs certificates
picture of tbs certificates
 
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


20141107 - Certificate Transparency

À partir du 1er février 2015 Google met en place une nouvelle norme sur son outil Chrome pour la validation des certificats SSL : le Certificate Transparency.

En quoi consiste le Certificate Transparency ?

Le Certificate Transparency impose la publication des informations de tout certificat SSL dans une base de données publique avant la livraison de ce dernier. Cette publication doit être faite par l'autorité de certification émettrice de manière automatique.

Le contenu stocké reprend les informations du certificat (CN, Organisation, SANs...).

Le but de l'opération est de créer une base de données publique mondiale permettant à quiconque de savoir si un certificat a été émis pour une organisation en particulier, par qui il a été émis et dans quel but. Il devient alors plus simple de savoir si un certificat a été émis de manière frauduleuse. Il ne s'agit donc pas d'empécher l'émission de certificats frauduleux mais de les détecter plus vite.

Concrêtement : comment cela va fonctionner ?

Cette nouvelle norme, uniquement appliquée sur Google chrome pour le moment, n'impactera que les certificats Extended Validation (EV) dans un premier temps.

Quand Chrome rencontrera un certificat EV, il ira vérifier que ce dernier apparait bien dans une des bases de données du Certificate Transparency. Si ce n'est pas le cas la barre verte, normalement enclenchée par ce type de certificat, sera alors désactivée. Rien ne distinguera plus un certificat EV d'un certificat 3-facteur.

EDIT 20180319 : Le Certificate Transparency deviendra obligatoire sur Chrome pour type de certificat (DV, OV, EV) à partir d'avril 2018.

Le calendrier

Le Certificate Transparency sera appliqué par Chrome à partir du 1er février 2015. Il faut alors prévoir que tous les certificats émis et expirant après cette date doivent publier leurs informations avant le 31 janvier 2015.

Cas des certificats Symantec, Thawte et Geotrust

Le groupe Symantec a déjà mis en place des actions visant à respecter la norme au plus vite.

Les certificats EV émis par Symantec, Thawte et Geotrust et accessibles en ligne ont déjà été publiés. Aucune actions supplémentaire ne sera demandées à l'organisation détentrice.

Cas des certificats non accessibles

Les certificats sécurisant des domaines non accessibles (pour des sites internes par exemple) n'ont pas été publiés. Les détenteurs de ces certificats recevront dans les jours qui viennent un email leur demandant si, oui ou non, ils veulent que les informations de leurs certificats soient publiées.

Il faut bien comprendre qu'un refus de publication est définitif et qu'il entrainera la désactivation de la barre verte sur Chrome.

EDIT 20160115 : Certificate Transparency pour les certificats OV

Symantec l'annonçait fin 2015, le Certificate Transparency sera étendu à tous les produits OV (3-facteur) des marques du groupe à partir du 19 janvier 2016. Aucune action n'est requise de la part des clients, à partir du 19 janvier tous les certificats émis par Symantec, Thawte ou Geotrust seront automatiquement publiés dans les CT.

Cas des certificats GlobalSign

Les certificats EV sécurisant des sites accessibles en lignes et déjà émis par GlobalSign seront publiés dans le courant de décembre 2014.

Cas des sites non accessibles : Ces derniers ne seront pas publiés. Pour les clients concernés et voulant conserver la barre d'URL verte, il faudra alors demander la refabrication du certificat à partir de janvier 2015. Le certificat sera alors automatiquement publié.

Les certificats émis à partir du 1er janvier 2015 seront automatiquement publiés dans les bases de données publiques.

Tableau récapitulatif

Présence dans la Certificate Transparency:
Comodo Globalsign Symantec, Thawte, Geotrust
OV EV DV OV EV OV EV
Oui (à partir d'avril 2018) Oui Oui Oui (à partir du 30 octobre 2017) Oui Oui Oui

Liens utiles