Tous les articles SSL SSL et certificats

Certificate Transparency : comment surveiller les certificats de votre domaine

Certificate Transparency (CT) est un systeme qui enregistre chaque certificat SSL emis publiquement dans des journaux publics en ajout seul (append-only). Cela signifie que n’importe qui peut voir quels certificats ont ete emis pour un domaine — et detecter les certificats non autorises ou frauduleux.

CT a ete cree par Google en 2013 apres des incidents ou des CAs avaient emis des certificats pour des domaines qu’elles n’auraient pas du certifier (notamment la faille DigiNotar en 2011, qui a conduit a des certificats Google frauduleux). Depuis 2018, toutes les CAs de confiance publique sont obligees de soumettre chaque certificat aux journaux CT.

Pourquoi CT est important

Sans CT (avant 2018)

Une CA pouvait emettre un certificat pour google.com a quelqu’un qui ne possede pas le domaine. Personne ne le saurait avant que le certificat ne soit activement utilise dans une attaque. Les CAs fonctionnaient uniquement sur la confiance.

Avec CT

Chaque certificat est enregistre publiquement. Si une CA emet un certificat pour google.com, il apparait dans les journaux CT en quelques heures. Google (ou quiconque surveille) peut le detecter immediatement.

Comment verifier les journaux CT pour votre domaine

crt.sh — l’outil de recherche CT le plus populaire

Rendez-vous sur crt.sh et entrez votre domaine. Vous verrez chaque certificat jamais emis pour ce domaine :

  • Issuer — quelle CA l’a emis
  • Not Before / Not After — periode de validite
  • SAN — noms de domaine couverts par le certificat
Exemples de resultats pour example.com :
  2026-05-08  Let's Encrypt R10       example.com, www.example.com
  2026-02-15  Let's Encrypt R10       example.com
  2025-11-20  Let's Encrypt R3        example.com, www.example.com
  ...

Recherche en ligne de commande

curl -s "https://crt.sh/?q=yourdomain.com&output=json" | jq '.[] | {issuer_name, not_before, not_after, common_name}'

Ce qu’il faut surveiller

  • Certificats que vous n’avez pas demandes — peut indiquer que quelqu’un usurpe votre domaine
  • CAs inattendues — si vous n’utilisez que Let’s Encrypt mais voyez un certificat DigiCert, enquetez
  • Certificats wildcard que vous n’avez pas crees — *.yourdomain.com provenant d’une source inconnue
  • Sous-domaines que vous ne reconnaissez passecret.yourdomain.com dans un certificat que vous n’avez pas demande

Comment CT fonctionne techniquement

  1. La CA emet un certificat et le soumet a un ou plusieurs journaux CT
  2. Le journal CT renvoie un SCT (Signed Certificate Timestamp) — preuve que le certificat a ete enregistre
  3. Le SCT est integre dans le certificat (ou servi pendant le handshake TLS)
  4. Les navigateurs verifient le SCT — Chrome exige que les certificats aient des SCTs valides provenant d’au moins 2-3 journaux CT
  5. N’importe qui peut surveiller les journaux pour les certificats emis pour ses domaines

Les journaux CT sont en ajout seul — les certificats peuvent etre ajoutes mais jamais supprimes ou modifies. Cela cree un historique auditable.

Mettre en place la surveillance CT

Pour une surveillance automatisee, utilisez un service qui vous alerte lorsque de nouveaux certificats sont emis pour votre domaine :

OutilCommentCout
crt.sh (manuel)Recherche periodiqueGratuit
Cert Spotter (SSLMate)Alertes par email pour les nouveaux certificatsOffre gratuite
Facebook CT MonitorAlertes via l’outil de FacebookGratuit
Google Certificate TransparencyRecherche dans les journaux CT de GoogleGratuit

CT et GetHTTPS

Lorsque vous obtenez un certificat via GetHTTPS, Let’s Encrypt le soumet automatiquement a plusieurs journaux CT. Vous pouvez le verifier en recherchant votre domaine sur crt.sh apres l’emission — votre certificat apparaitra en quelques minutes.

C’est par conception — l’enregistrement public de tous les certificats est une fonctionnalite de securite, pas un probleme de vie privee. Le certificat lui-meme (nom de domaine, cle publique, CA) est deja envoye a chaque visiteur pendant le handshake TLS.

Questions frequemment posees

Puis-je me desinscrire de Certificate Transparency ?

Non, pour les certificats de confiance publique. Depuis 2018, toutes les CAs doivent soumettre les certificats aux journaux CT. Les navigateurs (Chrome, Safari) rejettent les certificats sans SCTs valides. Les CAs privees/internes sont exemptees — elles ne soumettent pas aux journaux CT publics.

CT revele-t-il l’adresse IP de mon serveur ?

Non. Les journaux CT contiennent le certificat (nom de domaine, cle publique, CA, validite) mais pas l’adresse IP du serveur. Les enregistrements DNS revelent l’IP — les journaux CT n’ajoutent pas de nouvelles informations.

J’ai trouve un certificat pour mon domaine que je n’ai pas demande. Que faire ?

  1. Verifiez l’emetteur — cela pourrait-il etre l’AutoSSL de votre hebergeur ?
  2. Verifiez le SAN — inclut-il des domaines que vous reconnaissez ?
  3. S’il est vraiment non autorise, contactez la CA emettrice pour demander la revocation
  4. Verifiez vos DNS pour des modifications non autorisees — quelqu’un a peut-etre pointe votre domaine vers son serveur

Combien de journaux CT existent ?

Des dizaines. Les operateurs majeurs incluent Google (Argon, Xenon), Cloudflare (Nimbus), DigiCert, Sectigo et Let’s Encrypt. Les navigateurs exigent des SCTs de plusieurs journaux independants pour empecher qu’un seul journal compromis ne puisse dissimuler un certificat frauduleux.

Articles connexes

SSL et certificats 2026-05-07
Qu'est-ce qu'une Autorite de Certification (CA) ?
Une Autorite de Certification signe les certificats SSL pour prouver l'identite d'un site web. Decouvrez comment les CAs fonctionnent, le modele de confiance, les principales CAs et pourquoi Let's Encrypt a change l'industrie.
SSL et certificats 2026-05-07
La chaine de confiance des certificats expliquee
Comment les navigateurs verifient les certificats SSL a travers une chaine allant de la CA racine a la CA intermediaire jusqu'a votre certificat. Decouvrez pourquoi l'ordre de la chaine est important et comment corriger les erreurs 'certificat non approuve'.
SSL et certificats 2026-05-08
Qu'est-ce qu'un certificat SSL ?
Un certificat SSL est un fichier numerique qui authentifie un site web et permet les connexions HTTPS chiffrees. Decouvrez ce que contient un certificat, comment il fonctionne, comment en obtenir un gratuitement et pourquoi chaque site en a besoin.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat