
Pour information, Certificate Transparency vise à renforcer les contrôles sur les certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF. L’objectif de cette technologie est de faciliter la détection de certificats frauduleux ou invalides par la journalisation, en lecture pour tous, des certificats émis par les autorités reconnues par les navigateurs. La CT exige que toutes les organisations qui fournissent les certificats SSL mettent à sa disposition les logs de tous les certificats qu’elles émettent chaque jour. Ainsi, ces logs seront rendus publics afin de permettre aux éditeurs de navigateurs et à tous ceux qui le souhaitent, de les consulter librement en cas de doute.
Avec l'implémentation de cette politique sur Chrome, lorsque vous accédez à un site HTTPS dont le certificat SSL n’est pas enregistré dans le log (journal) du Certificate Transparency, le navigateur vous affiche un avertissement. « Lorsque Chrome se connectera à un site desservant un certificat public non conforme à la politique Chromium CT, les utilisateurs commenceront à voir un interstitiel pleine page indiquant que leur connexion n'est pas compatible CT », explique O'Brien. « Les sous-ressources servies via des connexions HTTPS non compatibles CT ne pourront pas se charger et afficheront une erreur dans Chrome DevTools », ajoute-t-il. La bonne nouvelle c’est que plusieurs autres fabricants de navigateurs ont accepté eux aussi d’utiliser cette stratégie du CT.
Le fait que le navigateur Chrome avertisse ses utilisateurs va sans doute donner beaucoup plus de crédibilité aux sites web accessibles via le protocole HTTPS. Dès que Chrome a envisagé d’implémenter cette nouvelle stratégie l’année dernière, plusieurs autorités de certification ont commencé à publier leurs logs CT alors qu’avant ces logs étaient strictement confidentiels et mis à la disposition des éditeurs de navigateurs pour d’éventuelles enquêtes.
Chrome a implémenté cette nouvelle stratégie dans ses navigateurs pour les plateformes telles que Windows, macOS, Linux et ChromeOS. De ce fait, désormais, lorsqu’un certificat SSL non enregistré dans un journal CT est émis, Chrome affichera une erreur. Par contre, les anciens certificats émis qui n’avaient pas été enregistrés au CT continueront de fonctionner, car cette nouvelle politique du CT n’est pas rétroactive. Par ailleurs, les ingénieurs de Google ont ajouté un flag au navigateur qui permettra aux utilisateurs de désactiver la vérification des certificats dans les logs CT.
Source : Google Groups
Et vous ?

Voir aussi :


