WizStatus
Sécurité9 décembre 2025 8 min de lecture

Certificate Transparency : Surveillance des Émissions de Certificats

Comprenez Certificate Transparency et les CT logs. Détectez les certificats non autorisés et renforcez la sécurité de vos domaines.

WizStatus Team
Auteur

Certificate Transparency (CT) est un framework de sécurité qui crée des journaux publics de tous les certificats SSL/TLS émis. Il permet de surveiller quels certificats sont émis pour n'importe quel domaine.

Avant CT, les certificats mal émis pouvaient passer inaperçus jusqu'à leur utilisation dans des attaques. Maintenant, tout est enregistré publiquement.

Qu'est-ce que Certificate Transparency

Certificate Transparency est un système de journaux publics append-only qui enregistrent tous les certificats SSL/TLS émis publiquement.

Comment ça fonctionne

  1. Les CAs soumettent les certificats aux journaux CT avant ou pendant l'émission
  2. Les journaux retournent des preuves cryptographiques appelées SCT (Signed Certificate Timestamps)
  3. Les navigateurs vérifient la présence des SCT
  4. Les certificats sans SCT valides sont rejetés

Composantes du système

  • Journaux CT : serveurs qui acceptent les soumissions et maintiennent les listes publiques
  • Moniteurs : scannent les journaux pour des certificats intéressants
  • Auditeurs : vérifient que les journaux se comportent correctement
  • Navigateurs : appliquent les exigences CT
Depuis 2018, Chrome exige que tous les nouveaux certificats publics soient enregistrés dans CT. La surveillance CT est pertinente pour tous les propriétaires de domaines.

Pourquoi CT Est Important

Certificate Transparency fournit plusieurs avantages de sécurité majeurs.

Détection des mauvaises émissions

CT vous permet de découvrir quand des certificats sont émis pour vos domaines par n'importe quelle CA, incluant :

  • Les certificats que vous n'avez pas demandés
  • Les erreurs de CA
  • Les émissions non autorisées par des employés
  • Potentiellement les CAs compromises

Responsabilité des CAs

La journalisation publique signifie que les mauvaises pratiques sont visibles et traçables. Les CAs sont incitées à maintenir des standards élevés.

Réponse aux incidents

Si un certificat frauduleux est découvert via CT, il peut être révoqué avant une utilisation malveillante significative.

Inventaire externe

La surveillance CT fournit une vue externe des certificats existants pour vos domaines :

  • Aide à maintenir des inventaires précis
  • Identifie la shadow IT
  • Détecte les émissions non autorisées
CT ne bloque pas l'émission de certificats frauduleux - il permet leur détection après coup. Les enregistrements CAA DNS fournissent une protection préventive.

Comment Surveiller les Journaux CT

La surveillance CT peut être implémentée de plusieurs façons.

Outils en ligne

crt.sh - Interface web gratuite :

https://crt.sh/?q=example.com

Recherchez tous les certificats émis pour votre domaine, incluant les sous-domaines.

Services de surveillance automatisée

  • Cert Spotter (SSLMate) : alertes email automatiques
  • Facebook CT Monitor : surveillance gratuite
  • Report URI : monitoring CT intégré

Auto-hébergement

Pour les organisations avec des besoins spécifiques :

# Exemple avec ctwatch
ctwatch -f example.com -o alerts.json

API des journaux CT

# Rechercher via l'API crt.sh
curl "https://crt.sh/?q=example.com&output=json" | jq '.[].common_name'

Bonnes Pratiques de Surveillance CT

Maximisez la valeur de la surveillance CT avec ces recommandations.

Configuration de la surveillance

  • Surveillez tous vos domaines : incluant les variations et sous-domaines ciblés pour le phishing
  • Alertes multi-équipes : sécurité ET opérations doivent recevoir les notifications
  • Procédures claires : qui vérifie si c'était autorisé, qui contacte la CA si ce ne l'était pas

Évaluation des alertes

Quand vous recevez une alerte de nouveau certificat, vérifiez :

  1. Le certificat était-il attendu ?
  2. Est-il émis par une CA que vous utilisez ?
  3. Est-il pour un sous-domaine légitime ?

Actions en cas de certificat non autorisé

  1. Investiguer l'origine
  2. Contacter la CA pour demander la révocation
  3. Vérifier si des attaques ont eu lieu
  4. Renforcer les contrôles (CAA, processus internes)

Complément avec CAA

Les enregistrements CAA DNS restreignent quelles CAs peuvent émettre pour vos domaines :

; Seul Let's Encrypt peut émettre des certificats
example.com. CAA 0 issue "letsencrypt.org"

; Recevoir des alertes en cas de violation
example.com. CAA 0 iodef "mailto:security@example.com"

; Bloquer les wildcards sauf pour une CA spécifique
example.com. CAA 0 issuewild ";"
Utilisez les données CT comme vérification de réalité contre votre inventaire interne. Les écarts peuvent indiquer des problèmes de processus ou de la shadow IT.

Conclusion

Certificate Transparency a fondamentalement amélioré la sécurité de l'écosystème des certificats. En surveillant les journaux CT pour vos domaines, vous pouvez détecter les certificats non autorisés rapidement.

Cette capacité est particulièrement précieuse pour les organisations avec des domaines de grande valeur ciblés par les attaquants. Mais toute organisation prenant la sécurité au sérieux devrait surveiller les CT logs.

WizStatus surveille vos certificats SSL et alerte sur les changements, complétant la surveillance CT avec une validation continue de vos certificats déployés.

Articles connexes

Comment Recevoir des Rappels Email d'Expiration SSL
Sécurité

Comment Recevoir des Rappels Email d'Expiration SSL

Ne laissez plus jamais un certificat SSL expirer. Configurez des rappels automatiques par email pour l'expiration SSL et évitez les avertissements de sécurité.
7 min de lecture
Guide d'Implémentation HSTS : HTTP Strict Transport Security
Tutoriels

Guide d'Implémentation HSTS : HTTP Strict Transport Security

Implémentez HSTS correctement. Configuration, préchargement et précautions pour une protection maximale contre les attaques de downgrade.
10 min de lecture
Let's Encrypt : Surveillance et Automatisation Complète
Tutoriels

Let's Encrypt : Surveillance et Automatisation Complète

Maîtrisez Let's Encrypt avec la surveillance et l'automatisation. Configuration, renouvellement automatique et dépannage des problèmes courants.
12 min de lecture

Commencez à surveiller votre infrastructure dès aujourd'hui

Mettez ces conseils en pratique avec le monitoring WizStatus.

Essayer WizStatus Gratuitement