RFC 6962 - Transparence des certificats (Certificate Transparency)
- Statut: Experimental
- Publié: June 2013
- Stream: IETF
- Remplacé par: RFC9162
- Errata: Pas d'errata
Résumé (Abstract)
Ce document décrit un protocole expérimental pour enregistrer publiquement l’existence de certificats de sécurité de la couche de transport (Transport Layer Security, TLS) au fur et à mesure de leur émission ou de leur observation, de manière à permettre à quiconque d’auditer l’activité des autorités de certification (certificate authority, CA) et de constater l’émission de certificats suspects, ainsi que d’auditer les journaux de certificats eux-mêmes. L’intention est qu’à terme les clients refusent d’honorer les certificats qui n’apparaissent pas dans un journal, forçant ainsi les CA à ajouter tous les certificats émis aux journaux.
Les journaux sont des services réseau qui mettent en œuvre les opérations de protocole pour les soumissions et les requêtes définies dans ce document.
État de ce mémo (Status of This Memo)
Ce document ne constitue pas une spécification de la piste des normes Internet ; il est publié pour examen, mise en œuvre expérimentale et évaluation.
Ce document définit un protocole expérimental pour la communauté Internet. Ce document est un produit de l’Internet Engineering Task Force (IETF). Il représente le consensus de la communauté IETF. Il a fait l’objet d’un examen public et a été approuvé pour publication par l’Internet Engineering Steering Group (IESG). Tous les documents approuvés par l’IESG ne sont pas candidats à un quelconque niveau de norme Internet ; voir la section 2 du RFC 5741.
Des informations sur l’état actuel de ce document, les éventuelles errata et la manière de fournir des retours peuvent être obtenues à l’adresse http://www.rfc-editor.org/info/rfc6962.
Notice de droit d’auteur (Copyright Notice)
Copyright (c) 2013 IETF Trust et les personnes identifiées comme auteurs du document. Tous droits réservés.
Ce document est soumis au BCP 78 et aux dispositions légales de l’IETF Trust relatives aux documents IETF (http://trustee.ietf.org/license-info) en vigueur à la date de publication de ce document. Veuillez examiner attentivement ces documents, car ils décrivent vos droits et restrictions concernant ce document. Les composants de code extraits de ce document doivent inclure le texte de licence BSD simplifiée telle que décrite à la section 4.e des dispositions légales du Trust et sont fournis sans garantie telle que décrite dans la licence BSD simplifiée.
Table des matières (Contents)
- 1. Introduction informelle
- 1.1. Langage des exigences
- 1.2. Structures de données
- 2. Composants cryptographiques
- 2.1. Arbres de hachage de Merkle
- 2.1.1. Chemins d’audit Merkle
- 2.1.2. Preuves de cohérence Merkle
- 2.1.3. Exemple
- 2.1.4. Signatures
- 3. Format et fonctionnement du journal
- 3.1. Entrées du journal
- 3.2. Structure de l’horodatage de certificat signé
- 3.3. Inclusion de l’horodatage de certificat signé dans la poignée de main TLS
- 3.3.1. Extension TLS
- 3.4. Arbre de Merkle
- 3.5. Tête d’arbre signée
- 4. Messages client vers le journal
- 4.1. Ajout d’une chaîne au journal
- 4.2. Ajout d’une chaîne PreCert au journal
- 4.3. Récupération de la Signed Tree Head la plus récente
- 4.4. Preuve de cohérence Merkle entre deux Signed Tree Heads
- 4.5. Preuve d’audit Merkle par hachage de feuille
- 4.6. Récupération d’entrées depuis le journal
- 4.7. Certificats racines acceptés
- 4.8. Entrée et preuve d’audit Merkle
- 5. Clients
- 5.1. Soumetteurs
- 5.2. Client TLS
- 5.3. Moniteur
- 5.4. Auditeur
- 6. Considérations IANA
- 7. Considérations de sécurité
- 7.1. Certificats mal émis
- 7.2. Détection d’une mauvaise émission
- 7.3. Journaux déviant du comportement attendu
- 8. Considérations d’efficacité
- 9. Évolutions futures
- 10. Remerciements
- 11. Références
- 11.1. Référence normative
- 11.2. Références informatives
- Adresses des auteurs
Ressources connexes
- Texte officiel : RFC 6962
- Page officielle : RFC 6962 DataTracker