Dernière mise à jour : | Voir toute la documentation
Certificate Transparency (CT) est un système pour enregistrer et surveiller la délivrance des certificats TLS. CT améliore considérablement la capacité de chacun à surveiller et à étudier l'émission de certificats, et ces capacités ont conduit à de nombreuses améliorations de l'écosystème CA et de la sécurité du Web. En conséquence, le CT devient rapidement une infrastructure critique.
Let's Encrypt soumet tous les certificats que nous délivrons aux journaux TC. Nous exploitons également deux journaux annuels de CT nommés Oak et Sapling. Toutes les autorités de certification publiquement reconnues sont les bienvenues pour contribuer à nos journaux. De nombreux certificats racine d'autorité de certification ont déjà été inclus dans nos journaux CT. Si vous exploitez une autorité de certification et que votre émetteur n'est pas dans notre liste d'émetteurs acceptés, veuillez déposer un message ici.
Inscrivez-vous pour recevoir des notifications dans le catégorie des annonces CT de notre forum communautaire pour voir les annonces majeures concernant nos journaux CT.
Financement
Si votre organisation souhaite nous aider à poursuivre ce travail, nous vous invitons à envisager un parrainage ou un don.
Architecture
Consultez notre blog pour voir comment Let's Encrypt exécute les journaux CT !
Surveillance du journal
Let's Encrypt a créé un outil de surveillance des journaux CT open-source appelé CT Woodpecker. Nous utilisons cet outil pour contrôler la stabilité et la conformité de nos propres journaux, et nous espérons que d'autres le trouveront également utile.
Journaux TC
Des informations sur les différents états du cycle de vie d'un journal de CT peuvent être trouvées ici.
Production
- Oak est intégré dans les programmes CT d' Apple et de Google.
- Notre environnement de production de l'API ACME soumet les certificats ici.
-
-
Nom: Oak 2019
URI: https://oak.ct.letsencrypt.org/2019
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
ID du log:65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
Début de la période:2019-01-01T00:00Z
Fin de la période:2020-01-07T00:00Z
État: Rejected - Shard Expired -
Nom: Oak 2020
URI: https://oak.ct.letsencrypt.org/2020
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
ID du log:E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
Début de la période:2020-01-01T00:00Z
Fin de la période:2021-01-07T00:00Z
État: Rejected - Shard Expired -
Nom: Oak 2021
URI: https://oak.ct.letsencrypt.org/2021
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
ID du log:94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
Début de la période:2021-01-01T00:00Z
Fin de la période:2022-01-07T00:00Z
État: Rejected - Shard Expired -
Nom: Oak 2022
URI: https://oak.ct.letsencrypt.org/2022
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
ID du log:DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
Début de la période:2022-01-01T00:00Z
Fin de la période:2023-01-07T00:00Z
État: Rejected - Shard Expired -
Nom: Oak 2023
URI: https://oak.ct.letsencrypt.org/2023
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
ID du log:B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
Début de la période:2023-01-01T00:00Z
Fin de la période:2024-01-07T00:00Z
État: Rejected - Shard Expired -
Nom: Oak 2024h1
URI: https://oak.ct.letsencrypt.org/2024h1
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
ID du log:3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
Début de la période:2023-12-20T00:00Z
Fin de la période:2024-07-20T00:00Z
État: Usable -
Nom: Oak 2024h2
URI: https://oak.ct.letsencrypt.org/2024h2
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
ID du log:3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
Début de la période:2024-06-20T00:00Z
Fin de la période:2025-01-20T00:00Z
État: Usable -
Nom: Oak 2025h1
URI: https://oak.ct.letsencrypt.org/2025h1
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEKeBpU9ejnCaIZeX39EsdF5vDvf8ELTHdLPxikl4y4EiROIQfS4ercpnMHfh8+TxYVFs3ELGr2IP7hPGVPy4vHA==
ID du log:A2:E3:0A:E4:45:EF:BD:AD:9B:7E:38:ED:47:67:77:53:D7:82:5B:84:94:D7:2B:5E:1B:2C:C4:B9:50:A4:47:E7
Début de la période:2024-12-20T00:00Z
Fin de la période:2025-07-20T00:00Z
État: Usable -
Nom: Oak 2025h2
URI: https://oak.ct.letsencrypt.org/2025h2
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEtXYwB63GyNLkS9L1vqKNnP10+jrW+lldthxg090fY4eG40Xg1RvANWqrJ5GVydc9u8H3cYZp9LNfkAmqrr2NqQ==
ID du log:0D:E1:F2:30:2B:D3:0D:C1:40:62:12:09:EA:55:2E:FC:47:74:7C:B1:D7:E9:30:EF:0E:42:1E:B4:7E:4E:AA:34
Début de la période:2025-06-20T00:00Z
Fin de la période:2026-01-20T00:00Z
État: Usable -
Nom: Oak 2026h1
URI: https://oak.ct.letsencrypt.org/2026h1
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEmdRhcCL6d5MNs8eAliJRvyV5sQFC6UF7iwzHsmVaifT64gJG1IrHzBAHESdFSJAjQN56TYky+9cK616MovH2SQ==
ID du log:19:86:D4:C7:28:AA:6F:FE:BA:03:6F:78:2A:4D:01:91:AA:CE:2D:72:31:0F:AE:CE:5D:70:41:2D:25:4C:C7:D4
Début de la période:2025-12-20T00:00Z
Fin de la période:2026-07-20T00:00Z
État: Pending -
Nom: Oak 2026h2
URI: https://oak.ct.letsencrypt.org/2026h2
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEanCds5bj7IU2lcNPnIvZfMnVkSmu69aH3AS8O/Y0D/bbCPdSqYjvuz9Z1tT29PxcqYxf+w1g5CwPFuwqsm3rFQ==
ID du log:AC:AB:30:70:6C:EB:EC:84:31:F4:13:D2:F4:91:5F:11:1E:42:24:43:B1:F2:A6:8C:4F:3C:2B:3B:A7:1E:02:C3
Début de la période:2026-06-20T00:00Z
Fin de la période:2027-01-20T00:00Z
État: Pending
-
Nom: Oak 2019
Test
- Les SCT de ces journaux NE DOIVENT PAS être incorporés dans des certificats de confiance publics.
- Les environnements Let's Encrypt de production et de développement de l'API ACME soumettent tous deux des certificats à Sapling, mais l'environnement de production n'utilise pas les SCTs résultants.
- Nous testons ici les nouvelles versions de Trillian et de certificate-transparency-go Trillian et de certificate-transparency-go avant de les déployer en production.
- La liste des racines acceptées par Sapling comprend toutes les racines acceptées par Oak, plus des racines de test supplémentaires.
- Sapling peut être utilisé par d'autres autorités de certification à des fins de test.
-
-
Nom: Sapling 2022h2
URI: https://sapling.ct.letsencrypt.org/2022h2
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
ID du log:23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
Début de la période:2022-06-15T00:00Z
Fin de la période:2023-01-15T00:00Z
-
Nom: Sapling 2023h1
URI: https://sapling.ct.letsencrypt.org/2023h1
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
ID du log:C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
Début de la période:2022-12-15T00:00Z
Fin de la période:2023-07-15T00:00Z
-
Nom: Sapling 2023h2
URI: https://sapling.ct.letsencrypt.org/2023h2
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbdCykRsTPRgfjKVQvINRLJk3gy+2qNKOU48bo/sWO0ko75S92C+PBDxsqMEd0YpCYYLogCt2LAK/U4H7UwHsjA==
ID du log:ED:AB:9D:1D:DD:83:73:95:9F:F5:2A:88:E4:6B:B4:BC:C3:C4:CC:4D:76:8A:60:CC:FF:4E:36:2D:7F:B8:D6:68
Début de la période:2023-06-15T00:00Z
Fin de la période:2024-01-15T00:00Z
-
Nom: Sapling 2024h1
URI: https://sapling.ct.letsencrypt.org/2024h1
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1Yn4OKJQuwEwo1/BeVBh1NYkQBnS8sYmMfQr/VdXOGqPcbwcpw0TtjJBYmn8FA+ZT7hnt7OfF4RTjLNW3bWOkw==
ID du log:AA:6C:B0:C5:C9:F4:C4:9D:8D:8E:A9:0C:39:17:E0:D7:0A:D9:22:10:BF:05:7F:41:50:93:82:CC:35:0C:98:46
Début de la période:2023-12-15T00:00Z
Fin de la période:2024-07-15T00:00Z
-
Nom: Sapling 2024h2
URI: https://sapling.ct.letsencrypt.org/2024h2
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWipy8ZdRGs2Y5tBb8h8c4UUREnT/YMbm+FEUQBBScf85txhGRHNN/sNN0L/KDiGu/GsrOBCkDruDfHkD42eZXQ==
ID du log:85:1B:AE:8E:EE:33:C1:B9:87:3F:C4:9C:7A:7C:27:65:66:3B:6B:80:63:03:04:0A:EC:A6:C1:11:A5:AB:E9:D7
Début de la période:2024-06-15T00:00Z
Fin de la période:2025-01-15T00:00Z
-
Nom: Sapling 2025h1
URI: https://sapling.ct.letsencrypt.org/2025h1
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE0orejUR5RSyoqJ0Hyu2gAwO6d9OPGtKgqQwdBMNGkKY1Bms1vzrHaUD5LDEvjB7Ug/ThaXz9eQH03w3jFii0uw==
ID du log:21:E5:1A:44:D8:B9:E7:54:0E:A7:FB:E0:BA:D7:77:36:15:60:66:84:D1:5A:EB:33:E6:45:B4:E9:55:F3:88:83
Début de la période:2024-12-15T00:00Z
Fin de la période:2025-07-15T00:00Z
-
Nom: Sapling 2022h2
Sunlight
- Let's Encrypt teste des journaux d'exécution basés sur Sunlight.
- Les SCT de ces journaux NE DOIVENT PAS être incorporés dans des certificats de confiance publics.
- Twig restera un journal de test, et accepte les mêmes AC que Sapling.
- Willow et Sycamore acceptent la même chose que Oak et sont destinés à devenir des logs de production.
-
-
Nom: Twig 2025h1b
URI: https://twig.ct.letsencrypt.org/2025h1b
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE/d6uF9Yw5/3Lo4nJIdWqY0D9H/v/J/WHWqgl8gmTa6AKiBo5CFddHwlU3wj+pgaQm2OhzV2MnXZCOpbLxyk8LA==
ID du log:lZC9hfLPxQZJmKurW7JsLnoXZwKRHBO2i0gF4euUJ+8=
Début de la période:2024-12-17T00:00Z
Fin de la période:2025-06-17T00:00Z
-
Nom: Twig 2025h2b
URI: https://twig.ct.letsencrypt.org/2025h2b
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1WZDmBaw9OoQTk8Yf/IvYkXPw6R6A+uBwHf1L4OrI4gsf/g5s9qtFEF6/NhG3R0+nxfha3apbUjdtNWln9yvkg==
ID du log:wF0gVDhcss+yF5INLw3Hg1JhR7GqT++Xynjh8LuE/O0=
Début de la période:2025-06-17T00:00Z
Fin de la période:2025-12-16T00:00Z
-
Nom: Sycamore 2025h1b
URI: https://sycamore.ct.letsencrypt.org/2025h1b
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELnRI9kk9Ahd4T2qNIrqLPvf5lO44NBYwD9lwoV9MqerizPLRDEjzLw2GXa7MonZEXhcMABNHgViY6kb1LeBDJg==
ID du log:TgJ3oMtvarf2feceaghbLRgMKXeCS/tMK72dLNQR874=
Début de la période:2024-12-18T00:00Z
Fin de la période:2025-06-18T00:00Z
-
Nom: Sycamore 2025h2b
URI: https://sycamore.ct.letsencrypt.org/2025h2b
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEocuurm/JTMcynwKIeUHntdBm8OuLHcK6HgWD5wkE6JCcsPx1i1jAnULV8TSrzdzb8YSIx+VgFp+/YmqGUMHE5w==
ID du log:94/yCGmtl2pDc7SsqLOyAxSOFO3mi+FBU1uhNot7qAY=
Début de la période:2025-06-18T00:00Z
Fin de la période:2025-12-17T00:00Z
-
Nom: Willow 2025h1b
URI: https://willow.ct.letsencrypt.org/2025h1b
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbNmWXyYsF2pohGOAiNELea6UL4/XioI3w6ChE5Udlos0HUqM7KOHIP9qBuWCVs6VAdtDXrvanmxKq52Whh2+2w==
ID du log:IX7IijpQPODOtMQx74xNVMHVjB9SuiP0KekrE2jAgWE=
Début de la période:2024-12-19T00:00Z
Fin de la période:2025-06-19T00:00Z
-
Nom: Willow 2025h2b
URI: https://willow.ct.letsencrypt.org/2025h2b
Clé publique:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAExOxwfLJ0aPb/4ykj0Zv476xGyhs8jCqisDWLnDigV9GAz3tmPvDBT5UwpIlVwWrIF6vjGE1Ics1hDwCsyHZoIg==
ID du log:5e8hdnsVqhuSh8Bn9rml8aUjEHJ9u4on/u6dHIdJ27g=
Début de la période:2025-06-19T00:00Z
Fin de la période:2026-12-18T00:00Z
-
Nom: Twig 2025h1b
Opérations de journalisation
Pour énumérer les racines incluses pour un journal CT particulier, vous pouvez exécuter la commande suivante dans le terminal de votre choix :
$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial done
La soumission des certificats à un journal CT est généralement gérée par les autorités de certification. Si vous souhaitez expérimenter avec ceci, commencez par récupérer un certificat arbitraire encodé en PEM à partir de notre site web préféré. Copiez et collez le bloc suivant dans votre terminal.
$ echo | \ openssl s_client \ -connect "letsencrypt.org":443 \ -servername "letsencrypt.org" \ -verify_hostname "letsencrypt.org" 2>/dev/null | \ sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt
Avant qu'un certificat ne puisse être soumis, il doit être encodé en JSON dans une structure spéciale. Vous pouvez utiliser le générateur JSON fourni par https://crt.sh/gen-add-chain pour effectuer cette opération. L'utilitaire crt.sh renverra un paquet JSON. Téléchargez le paquet sur votre ordinateur, renommez le fichier si nécessaire et lancez la commande suivante pour effectuer l'opération add-chain (RFC 6962 section 4.1) pour soumettre le certificat à un journal CT. La sortie contiendra une signature qui est en fait un SCT. Nous reviendrons sur la signature dans un moment.
$ curl \ -X POST \ --data @example-json-bundle.json \ -H "Content-Type: application/json" \ -H "User-Agent: lets-encrypt-ct-log-example-1.0" \ https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain {"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}
Pour confirmer que le journal CT a été signé par le shard Oak 2020, nous utilisons le champ id de la commande ci-dessus et l'exécutons avec la commande suivante. Le résultat de cette opération sera l'ID du journal du CT.
$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]' E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
En utilisant le champ de signature, nous pouvons vérifier que le certificat a été soumis à un journal. En utilisant notre guide d'approfondissement SCT, vous pouvez décoder plus en profondeur cette valeur.
$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]' 04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4 9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54 5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81 2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B 47:5F:80:C5:81:F8:0D:B2:1E:2F:84