Journaux de transparence des certificats (TC)

Dernière mise à jour : 25 févr. 2020 | Voir toute la documentation

Note : La version anglaise a été mise à jour depuis sa traduction (17 juin 2022) Voir en anglais

La Transparence des Certificats (TC) est un système pour enregistrer et surveiller l'émission de certificats TLS. TC améliore grandement la capacité de tous à surveiller et étudier l'émission de certificats, et ces capacités ont permis de nombreuses améliorations à l'écosystème AC et la sécurité du Web. En conséquence, TC est rapidement devenu une infrastructure critique.

Let's Encrypt soumet tous les certificats que nous délivrons aux journaux TC. Nous utilisons également deux journaux TC partagés annuellement nommés Oak et Testflume. Toutes les autorités de certification de confiance publique sont les bienvenues pour participer à nos journaux. De nombreux certificats racine d'autorité de certification ont déjà été inclus dans nos journaux TC. Contactez-nous par email pour ajouter de nouveaux certificats racines dans nos journaux si les votre n'y sont pas.

Inscrivez-vous pour recevoir des notifications dans la catégorie d'annonces TC sur notre forum communautaire pour voir les annonces majeures concernant nos journaux TC.

Financement

Nous voulons remercier les partenaires suivants pour leur généreuse contribution au journal TC de Let's Encrypt. Si votre organisation souhaite nous aider à continuer ce travail, veuillez considérer le sponsoring ou une donation.

Architecture

Rendez-vous sur notre blog pour voir Comment Fonctionne les Journaux TC de Let's Encrypt !

Surveillance du journal

Let's Encrypt a créé un outil open-source de surveillance du journal TC appelé CT Woodpecker. Nous utilisons cet outil pour monitorer la stabilité et la conformité de nos propres journaux, et nous espérons que d'autres y trouveront également une utilité.

Journaux TC

Production

• Oak est embarqué dans les logiciels TC de Apple et Google.
• Notre environnement de production de l'API ACME soumet les certificats ici.
• • Nom: Oak 2019
    URI: https://oak.ct.letsencrypt.org/2019
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
    ID du log: 65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
    Début de la période: 2019-01-01T00:00Z
    Fin de la période: 2020-01-07T00:00Z
    État: Rejected - Shard Expired
  • Nom: Oak 2020
    URI: https://oak.ct.letsencrypt.org/2020
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
    ID du log: E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
    Début de la période: 2020-01-01T00:00Z
    Fin de la période: 2021-01-07T00:00Z
    État: Rejected - Shard Expired
  • Nom: Oak 2021
    URI: https://oak.ct.letsencrypt.org/2021
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
    ID du log: 94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
    Début de la période: 2021-01-01T00:00Z
    Fin de la période: 2022-01-07T00:00Z
    État: Rejected - Shard Expired
  • Nom: Oak 2022
    URI: https://oak.ct.letsencrypt.org/2022
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
    ID du log: DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
    Début de la période: 2022-01-01T00:00Z
    Fin de la période: 2023-01-07T00:00Z
    État: Usable
  • Nom: Oak 2023
    URI: https://oak.ct.letsencrypt.org/2023
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
    ID du log: B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
    Début de la période: 2023-01-01T00:00Z
    Fin de la période: 2024-01-07T00:00Z
    État: Usable
  • Nom: Oak 2024h1
    URI: https://oak.ct.letsencrypt.org/2024h1
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
    ID du log: 3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
    Début de la période: 2023-12-20T00:00Z
    Fin de la période: 2024-07-20T00:00Z
    État: Pending
  • Nom: Oak 2024h2
    URI: https://oak.ct.letsencrypt.org/2024h2
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
    ID du log: 3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
    Début de la période: 2024-06-20T00:00Z
    Fin de la période: 2025-01-20T00:00Z
    État: Pending

Test

• Les SCT de ces journaux NE DOIVENT PAS être incorporés dans des certificats de confiance publique.
• Les environnements Let's Encrypt de production et de test de l'API ACME envoient tous deux les certificats à Testflume, mais l'environnement de production n'utilise pas les SCT résultants.
• Nous testons ici de nouvelles versions versions de Trillian et certificate-transparency-go avant de les déployer en production.
• La liste des racines acceptées par Testflume comprend toutes les racines acceptées de Oak, ainsi que des racines de test supplémentaires.
• Testflume peut être utilisé par d'autres autorités de certification à des fins d'essai.
• • Nom: Sapling 2022h2
    URI: https://sapling.ct.letsencrypt.org/2022h2
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
    ID du log: 23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
    Début de la période: 2022-06-15T00:00Z
    Fin de la période: 2023-01-15T00:00Z
    
  • Nom: Sapling 2023h1
    URI: https://sapling.ct.letsencrypt.org/2023h1
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
    ID du log: C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
    Début de la période: 2022-12-15T00:00Z
    Fin de la période: 2023-07-15T00:00Z
    

Opérations de journalisation

Pour énumérer les racines incluses pour un Certificate Transparency Log particulier, vous pouvez exécuter la commande suivante dans le terminal de votre choix :

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

La soumission de certificats à un Certificate Transparency Log est généralement traitée par les autorités de certification. Si vous souhaitez en faire l'expérience, commencez par récupérer un certificat arbitraire codé PEM sur notre site web préféré. Copiez et collez le bloc suivant dans votre terminal.

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

Avant qu'un certificat puisse être soumis, il doit être encodé en JSON dans une structure spéciale. Vous pouvez utiliser le générateur JSON fourni par https://crt.sh/gen-add-chain pour effectuer cette tâche. L'utilitaire crt.sh retournera un paquet JSON. Téléchargez le paquet sur votre ordinateur, renommez le fichier si nécessaire, et lancez la commande suivante pour effectuer l'opération d'ajout de chaîne (RFC 6962 section 4.1) pour soumettre le certificat à un Certificate Transparency Log. La sortie contiendra une signature qui est en fait une SCT. Plus d'informations sur la signature dans un instant.

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

Pour confirmer que le Certificate Transparency Log a été signé par le bloc Oak 2020, nous utilisons le champ id de la commande ci-dessus et nous le passons à la commande suivante. Le résultat de cette opération produira le Log ID du Certificate Transparency Log.

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

En utilisant le champ de signature, nous pouvons vérifier que le certificat a été soumis à un journal. En utilisant notre guide SCT, vous pourriez décoder davantage cette valeur.

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84