Certificate Transparency (CT) est un systeme qui enregistre chaque certificat SSL emis publiquement dans des journaux publics en ajout seul (append-only). Cela signifie que n’importe qui peut voir quels certificats ont ete emis pour un domaine — et detecter les certificats non autorises ou frauduleux.
CT a ete cree par Google en 2013 apres des incidents ou des CAs avaient emis des certificats pour des domaines qu’elles n’auraient pas du certifier (notamment la faille DigiNotar en 2011, qui a conduit a des certificats Google frauduleux). Depuis 2018, toutes les CAs de confiance publique sont obligees de soumettre chaque certificat aux journaux CT.
Pourquoi CT est important
Sans CT (avant 2018)
Une CA pouvait emettre un certificat pour google.com a quelqu’un qui ne possede pas le domaine. Personne ne le saurait avant que le certificat ne soit activement utilise dans une attaque. Les CAs fonctionnaient uniquement sur la confiance.
Avec CT
Chaque certificat est enregistre publiquement. Si une CA emet un certificat pour google.com, il apparait dans les journaux CT en quelques heures. Google (ou quiconque surveille) peut le detecter immediatement.
Comment verifier les journaux CT pour votre domaine
crt.sh — l’outil de recherche CT le plus populaire
Rendez-vous sur crt.sh et entrez votre domaine. Vous verrez chaque certificat jamais emis pour ce domaine :
- Issuer — quelle CA l’a emis
- Not Before / Not After — periode de validite
- SAN — noms de domaine couverts par le certificat
Exemples de resultats pour example.com :
2026-05-08 Let's Encrypt R10 example.com, www.example.com
2026-02-15 Let's Encrypt R10 example.com
2025-11-20 Let's Encrypt R3 example.com, www.example.com
...
Recherche en ligne de commande
curl -s "https://crt.sh/?q=yourdomain.com&output=json" | jq '.[] | {issuer_name, not_before, not_after, common_name}'
Ce qu’il faut surveiller
- Certificats que vous n’avez pas demandes — peut indiquer que quelqu’un usurpe votre domaine
- CAs inattendues — si vous n’utilisez que Let’s Encrypt mais voyez un certificat DigiCert, enquetez
- Certificats wildcard que vous n’avez pas crees —
*.yourdomain.comprovenant d’une source inconnue - Sous-domaines que vous ne reconnaissez pas —
secret.yourdomain.comdans un certificat que vous n’avez pas demande
Comment CT fonctionne techniquement
- La CA emet un certificat et le soumet a un ou plusieurs journaux CT
- Le journal CT renvoie un SCT (Signed Certificate Timestamp) — preuve que le certificat a ete enregistre
- Le SCT est integre dans le certificat (ou servi pendant le handshake TLS)
- Les navigateurs verifient le SCT — Chrome exige que les certificats aient des SCTs valides provenant d’au moins 2-3 journaux CT
- N’importe qui peut surveiller les journaux pour les certificats emis pour ses domaines
Les journaux CT sont en ajout seul — les certificats peuvent etre ajoutes mais jamais supprimes ou modifies. Cela cree un historique auditable.
Mettre en place la surveillance CT
Pour une surveillance automatisee, utilisez un service qui vous alerte lorsque de nouveaux certificats sont emis pour votre domaine :
| Outil | Comment | Cout |
|---|---|---|
| crt.sh (manuel) | Recherche periodique | Gratuit |
| Cert Spotter (SSLMate) | Alertes par email pour les nouveaux certificats | Offre gratuite |
| Facebook CT Monitor | Alertes via l’outil de Facebook | Gratuit |
| Google Certificate Transparency | Recherche dans les journaux CT de Google | Gratuit |
CT et GetHTTPS
Lorsque vous obtenez un certificat via GetHTTPS, Let’s Encrypt le soumet automatiquement a plusieurs journaux CT. Vous pouvez le verifier en recherchant votre domaine sur crt.sh apres l’emission — votre certificat apparaitra en quelques minutes.
C’est par conception — l’enregistrement public de tous les certificats est une fonctionnalite de securite, pas un probleme de vie privee. Le certificat lui-meme (nom de domaine, cle publique, CA) est deja envoye a chaque visiteur pendant le handshake TLS.
Questions frequemment posees
Puis-je me desinscrire de Certificate Transparency ?
Non, pour les certificats de confiance publique. Depuis 2018, toutes les CAs doivent soumettre les certificats aux journaux CT. Les navigateurs (Chrome, Safari) rejettent les certificats sans SCTs valides. Les CAs privees/internes sont exemptees — elles ne soumettent pas aux journaux CT publics.
CT revele-t-il l’adresse IP de mon serveur ?
Non. Les journaux CT contiennent le certificat (nom de domaine, cle publique, CA, validite) mais pas l’adresse IP du serveur. Les enregistrements DNS revelent l’IP — les journaux CT n’ajoutent pas de nouvelles informations.
J’ai trouve un certificat pour mon domaine que je n’ai pas demande. Que faire ?
- Verifiez l’emetteur — cela pourrait-il etre l’AutoSSL de votre hebergeur ?
- Verifiez le SAN — inclut-il des domaines que vous reconnaissez ?
- S’il est vraiment non autorise, contactez la CA emettrice pour demander la revocation
- Verifiez vos DNS pour des modifications non autorisees — quelqu’un a peut-etre pointe votre domaine vers son serveur
Combien de journaux CT existent ?
Des dizaines. Les operateurs majeurs incluent Google (Argon, Xenon), Cloudflare (Nimbus), DigiCert, Sectigo et Let’s Encrypt. Les navigateurs exigent des SCTs de plusieurs journaux independants pour empecher qu’un seul journal compromis ne puisse dissimuler un certificat frauduleux.