Aperçu
La transparence des certificats est une extension du système actuel d'émission et de surveillance SSL pour fournir des journaux auditables publiquement des autorités de certification (AC) afin que la détection d'occurrences émises par erreur ou acquises de manière malveillante puisse être facilement détectée.
Dans Google Chrome, vous verrez un message du type "Le certificat SSL n'a pas d'enregistrements d'audit publics". Par exemple, un certificat actuellement émis par RapidSSL ressemblera à ceci :
Cela ne fait PAS indiquer qu'il y a un problème avec le certificat ou le site Web. Comme indiqué par le cadenas vert, il s'agit toujours d'un certificat valide qui a été servi correctement par le site Web.
Prise en charge complète de la transparence des certificats
Pour fournir une prise en charge complète de la transparence des certificats, cela nécessitera à la fois une prise en charge sur le serveur et via l'autorité de certification. À l'heure actuelle (avril 2014), pour presque tous les services d'hébergement, cela n'est pas pris en charge par le serveur. Les modifications apportées aux packages requis (OpenSSL) sont actuellement prévues pour la version 1.0.2, mais cela peut être sujet à changement. Il n'y a aucune garantie que cela sera rétroporté vers les versions actuelles de Red Hat / CentOS, ce qui signifie qu'il devrait provenir d'un référentiel tiers.
Comme les certificats sont toujours valides sans cette prise en charge, Conetix recommande d'attendre jusqu'à ce qu'il y ait une prise en charge complète par toutes les autorités de certification et également par les packages système standard. La transparence supplémentaire fournira une assurance de sécurité supplémentaire pour les SSL à l'avenir afin de fournir une assurance supplémentaire que le certificat SSL est correct.
Lectures complémentaires
Site officiel :http://www.certificate-transparency.org/
RFC actuel (expérimental) :http://tools.ietf.org/html/rfc6962
Discussion de groupe Google :https://groups.google.com/forum/#!forum/certificate-transparency