Journaux de transparence des certificats (TC)

Dernière mise à jour : 17 juin 2022 | Voir toute la documentation

Note : La version anglaise a été mise à jour depuis sa traduction (25 sept. 2023) Voir en anglais

Certificate Transparency (CT) est un système pour enregistrer et surveiller la délivrance des certificats TLS. CT améliore considérablement la capacité de chacun à surveiller et à étudier l'émission de certificats, et ces capacités ont conduit à de nombreuses améliorations de l'écosystème CA et de la sécurité du Web. En conséquence, le CT devient rapidement une infrastructure critique.

Let's Encrypt soumet tous les certificats que nous délivrons aux journaux TC. Nous exploitons également deux journaux annuels de CT nommés Oak et Sapling. Toutes les autorités de certification publiquement reconnues sont les bienvenues pour contribuer à nos journaux. De nombreux certificats racine d'autorité de certification ont déjà été inclus dans nos journaux CT. Si vous exploitez une autorité de certification et que votre émetteur n'est pas dans notre liste d'émetteurs acceptés, veuillez déposer un message ici.

Inscrivez-vous pour recevoir des notifications dans le catégorie des annonces CT de notre forum communautaire pour voir les annonces majeures concernant nos journaux CT.

Financement

Nous tenons à remercier les partenaires suivants qui ont généreusement sponsorisé le journal Let's Encrypt CT. Si votre organisation souhaite nous aider à poursuivre ce travail, nous vous invitons à envisager un parrainage ou un don.

Architecture

Consultez notre blog pour voir comment Let's Encrypt exécute les journaux CT !

Surveillance du journal

Let's Encrypt a créé un outil de surveillance des journaux CT open-source appelé CT Woodpecker. Nous utilisons cet outil pour contrôler la stabilité et la conformité de nos propres journaux, et nous espérons que d'autres le trouveront également utile.

Journaux TC

Des informations sur les différents états du cycle de vie par lesquels progresse un journal CT peuvent être trouvées ici.

Production

• Oak est intégré dans les programmes CT d' Apple et de Google.
• Notre environnement de production de l'API ACME soumet les certificats ici.
• • Nom: Oak 2019
    URI: https://oak.ct.letsencrypt.org/2019
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
    ID du log: 65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
    Début de la période: 2019-01-01T00:00Z
    Fin de la période: 2020-01-07T00:00Z
    État: Rejected - Shard Expired
  • Nom: Oak 2020
    URI: https://oak.ct.letsencrypt.org/2020
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
    ID du log: E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
    Début de la période: 2020-01-01T00:00Z
    Fin de la période: 2021-01-07T00:00Z
    État: Rejected - Shard Expired
  • Nom: Oak 2021
    URI: https://oak.ct.letsencrypt.org/2021
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
    ID du log: 94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
    Début de la période: 2021-01-01T00:00Z
    Fin de la période: 2022-01-07T00:00Z
    État: Rejected - Shard Expired
  • Nom: Oak 2022
    URI: https://oak.ct.letsencrypt.org/2022
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
    ID du log: DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
    Début de la période: 2022-01-01T00:00Z
    Fin de la période: 2023-01-07T00:00Z
    État: Rejected - Shard Expired
  • Nom: Oak 2023
    URI: https://oak.ct.letsencrypt.org/2023
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
    ID du log: B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
    Début de la période: 2023-01-01T00:00Z
    Fin de la période: 2024-01-07T00:00Z
    État: Rejected - Shard Expired
  • Nom: Oak 2024h1
    URI: https://oak.ct.letsencrypt.org/2024h1
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
    ID du log: 3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
    Début de la période: 2023-12-20T00:00Z
    Fin de la période: 2024-07-20T00:00Z
    État: Usable
  • Nom: Oak 2024h2
    URI: https://oak.ct.letsencrypt.org/2024h2
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
    ID du log: 3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
    Début de la période: 2024-06-20T00:00Z
    Fin de la période: 2025-01-20T00:00Z
    État: Usable
  • Nom: Oak 2025h1
    URI: https://oak.ct.letsencrypt.org/2025h1
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEKeBpU9ejnCaIZeX39EsdF5vDvf8ELTHdLPxikl4y4EiROIQfS4ercpnMHfh8+TxYVFs3ELGr2IP7hPGVPy4vHA==
    ID du log: A2:E3:0A:E4:45:EF:BD:AD:9B:7E:38:ED:47:67:77:53:D7:82:5B:84:94:D7:2B:5E:1B:2C:C4:B9:50:A4:47:E7
    Début de la période: 2024-12-20T00:00Z
    Fin de la période: 2025-07-20T00:00Z
    État: Usable
  • Nom: Oak 2025h2
    URI: https://oak.ct.letsencrypt.org/2025h2
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEtXYwB63GyNLkS9L1vqKNnP10+jrW+lldthxg090fY4eG40Xg1RvANWqrJ5GVydc9u8H3cYZp9LNfkAmqrr2NqQ==
    ID du log: 0D:E1:F2:30:2B:D3:0D:C1:40:62:12:09:EA:55:2E:FC:47:74:7C:B1:D7:E9:30:EF:0E:42:1E:B4:7E:4E:AA:34
    Début de la période: 2025-06-20T00:00Z
    Fin de la période: 2026-01-20T00:00Z
    État: Usable

Test

• Les SCT de ces journaux NE DOIVENT PAS être incorporés dans des certificats de confiance publics.
• Les environnements Let's Encrypt de production et de développement de l'API ACME soumettent tous deux des certificats à Sapling, mais l'environnement de production n'utilise pas les SCTs résultants.
• Nous testons ici les nouvelles versions de Trillian et de certificate-transparency-go Trillian et de certificate-transparency-go avant de les déployer en production.
• La liste des racines acceptées par Sapling comprend toutes les racines acceptées par Oak, plus des racines de test supplémentaires.
• Sapling peut être utilisé par d'autres autorités de certification à des fins de test.
• • Nom: Sapling 2022h2
    URI: https://sapling.ct.letsencrypt.org/2022h2
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
    ID du log: 23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
    Début de la période: 2022-06-15T00:00Z
    Fin de la période: 2023-01-15T00:00Z
    
  • Nom: Sapling 2023h1
    URI: https://sapling.ct.letsencrypt.org/2023h1
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
    ID du log: C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
    Début de la période: 2022-12-15T00:00Z
    Fin de la période: 2023-07-15T00:00Z
    
  • Nom: Sapling 2023h2
    URI: https://sapling.ct.letsencrypt.org/2023h2
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbdCykRsTPRgfjKVQvINRLJk3gy+2qNKOU48bo/sWO0ko75S92C+PBDxsqMEd0YpCYYLogCt2LAK/U4H7UwHsjA==
    ID du log: ED:AB:9D:1D:DD:83:73:95:9F:F5:2A:88:E4:6B:B4:BC:C3:C4:CC:4D:76:8A:60:CC:FF:4E:36:2D:7F:B8:D6:68
    Début de la période: 2023-06-15T00:00Z
    Fin de la période: 2024-01-15T00:00Z
    
  • Nom: Sapling 2024h1
    URI: https://sapling.ct.letsencrypt.org/2024h1
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1Yn4OKJQuwEwo1/BeVBh1NYkQBnS8sYmMfQr/VdXOGqPcbwcpw0TtjJBYmn8FA+ZT7hnt7OfF4RTjLNW3bWOkw==
    ID du log: AA:6C:B0:C5:C9:F4:C4:9D:8D:8E:A9:0C:39:17:E0:D7:0A:D9:22:10:BF:05:7F:41:50:93:82:CC:35:0C:98:46
    Début de la période: 2023-12-15T00:00Z
    Fin de la période: 2024-07-15T00:00Z
    
  • Nom: Sapling 2024h2
    URI: https://sapling.ct.letsencrypt.org/2024h2
    Clé publique: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWipy8ZdRGs2Y5tBb8h8c4UUREnT/YMbm+FEUQBBScf85txhGRHNN/sNN0L/KDiGu/GsrOBCkDruDfHkD42eZXQ==
    ID du log: 85:1B:AE:8E:EE:33:C1:B9:87:3F:C4:9C:7A:7C:27:65:66:3B:6B:80:63:03:04:0A:EC:A6:C1:11:A5:AB:E9:D7
    Début de la période: 2024-06-15T00:00Z
    Fin de la période: 2025-01-15T00:00Z
    

Opérations de journalisation

Pour énumérer les racines incluses pour un journal CT particulier, vous pouvez exécuter la commande suivante dans le terminal de votre choix :

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

La soumission des certificats à un journal CT est généralement gérée par les autorités de certification. Si vous souhaitez expérimenter avec ceci, commencez par récupérer un certificat arbitraire encodé en PEM à partir de notre site web préféré. Copiez et collez le bloc suivant dans votre terminal.

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

Avant qu'un certificat ne puisse être soumis, il doit être encodé en JSON dans une structure spéciale. Vous pouvez utiliser le générateur JSON fourni par https://crt.sh/gen-add-chain pour effectuer cette opération. L'utilitaire crt.sh renverra un paquet JSON. Téléchargez le paquet sur votre ordinateur, renommez le fichier si nécessaire et lancez la commande suivante pour effectuer l'opération add-chain (RFC 6962 section 4.1) pour soumettre le certificat à un journal CT. La sortie contiendra une signature qui est en fait un SCT. Nous reviendrons sur la signature dans un moment.

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

Pour confirmer que le journal CT a été signé par le shard Oak 2020, nous utilisons le champ id de la commande ci-dessus et l'exécutons avec la commande suivante. Le résultat de cette opération sera l'ID du journal du CT.

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

En utilisant le champ de signature, nous pouvons vérifier que le certificat a été soumis à un journal. En utilisant notre guide d'approfondissement SCT, vous pouvez décoder plus en profondeur cette valeur.

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84