Comprendre le contrôle de la transparence des certificats

Découvrez comment le contrôle de la transparence des certificats donne une visibilité sur les certificats SSL alloués à vos domaines.


Présentation

Les principaux navigateurs accordent leur confiance à un site Web grâce à un certificat SSL. Le certificat SSL permet de vérifier l'identité du site et de garantir la sécurisation des connexions avant que le client ou le navigateur n'envoie du contenu.

Lorsque les autorités de certification délivrent des certificats, elles enregistrent ces derniers dans des journaux de transparence des certificats (CT) publics. Les journaux CT sont de grandes bases de données gérées par Cloudflare, Google et d'autres, qui répertorient dans leur ensemble tous les certificats valides. Le contrôle de la transparence des certificats de Cloudflare envoie une alerte par e-mail chaque fois que votre domaine est reconnu dans un journal CT. Ainsi, le contrôle CT vous avertit lorsqu'un certificat SSL est créé pour votre domaine et vous permet de confirmer la légitimité des nouveaux certificats SSL.

Le contrôle CT ne détecte pas les tentatives de hameçonnage. Par exemple, pourcloudflare.com, un certificat délivré à cloudf1are.com ou cloud-flare.com ne déclencherait pas d’alerte.

Activer les alertes de transparence des certificats

Les alertes sont désactivées par défaut mais peuvent être activées dans la rubriqueCertificate Transparency Monitoring de l’applicationSSL/TLS de Cloudflare . Les alertes pour les domaines Free et Pro sont limitées à 10 par semaine et sont envoyées à tous les membres du compte Cloudflare désignés dans Shared Account Access. Les domaines Business et Enterprise peuvent configurer jusqu'à 10 adresses e-mail pour recevoir des alertes CT. Les adresses e-mail n'ont pas besoin d'être associées à un compte Cloudflare et les alertes sont limitées à 200 par semaine.

Les limites des alertes sont comptées par certificat et non par le nombre d'e-mails envoyés. Par exemple, une alerte pour www.exemple.com envoyée par e-mail à 5 destinataires ne compte que pour une seule alerte.
Envoyez des e-mails à plus de 10 personnes en créant un alias e-mail, par exemple : ct-alerts@votresociete.com .

Pour désactiver les alertes CT pour les domaines Free et Pro, désactivez Contrôle de la transparence des certificats dans l’applicationSSL/TLS du tableau de bord Cloudflare. Pour les domaines Business et Enterprise, supprimez toutes les adresses e-mail définies de la fonction Certificate Transparency Monitoring feature.


Combattez les certificats SSL malveillants.

La plupart des alertes concernant les certificats sont des alertes de routine. Par exemple, les certificats arrivent à expiration et doivent être de nouveau délivrés. Aucune action n'est requise si votre domaine est répertorié dans l'e-mail avec des informations de propriété et de certificat identifiables.

Cependant, vous devez agir si :

  • Vous ne reconnaissez pas l'émetteur du certificat.
  • Vous constatez que votre site Web rencontre des problèmes au moment où vous recevez l'alerte CT.

Il peut être difficile de déceler les activités malveillantes, alors faites preuve de prudence. Si vous décelez le moindre problème, procédez comme indiqué ci-dessous :


Ressources associées

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk