Aujourd'hui, nous lançons Certificate Transparency Monitoring (mon projet d'été en tant que stagiaire !) pour aider les clients à détecter les certificats malveillants. Si vous choisissez CT Monitoring, nous vous enverrons un email chaque fois qu'un certificat est émis pour l'un de vos domaines. Nous passons au crible tous les journaux publics pour trouver ces certificats rapidement. CT Monitoring est maintenant disponible en version bêta publique et peut être activé dans l’onglet Crypto du tableau de bord Cloudflare.

Historique

La plupart des navigateurs Web contiennent une icône de verrouillage dans la barre d'adresse. Cette icône est en fait un bouton. Si vous êtes un partisan de la sécurité ou un cliqueur compulsif (je suis les deux à la fois), vous avez probablement déjà cliqué dessus ! Voici ce qui se passe lorsque vous faites cela dans Google Chrome :

Cela ressemble à une bonne nouvelle. Le blog Cloudflare a présenté un certificat valide, vos données sont privées, et tout est sécurisé. Mais qu'est-ce que cela signifie concrètement ?

Certificats

Votre navigateur effectue des travaux en coulisse pour vous protéger. Lorsque vous envoyez une requête à un site Web (par exemple, cloudflare.com), le site Web doit présenter un certificat qui prouve son identité. Ce certificat est comme un cachet de validation : il dit que votre connexion est sécurisée. En d'autres termes, le certificat prouve que le contenu n'a pas été intercepté ou modifié pendant son transit avant de vous atteindre. Un site Cloudflare modifié serait problématique, surtout s'il ressemble au vrai site Cloudflare. Les certificats nous protègent en intégrant des informations sur les sites Web et leurs propriétaires.

Nous faisons circuler ces certificats parce qu’il n’y a pas véritablement de code d’honneur sur Internet. Si vous voulez un certificat pour votre site Web, il suffit d'en demander un auprès d'une autorité de certification (CA). Vous pouvez aussi vous inscrire sur Cloudflare et nous le ferons pour vous ! Les CA émettent des certificats tout comme les notaires apposent leur sceau sur des documents juridiques dans la vie réelle. Ils confirment votre identité, examinent certaines données et utilisent leur statut spécial pour vous attribuer un certificat numérique. Les CA les plus populaires sont DigiCert, Let's Encrypt et Sectigo. Ce système nous a bien servis parce qu'il a gardé les imposteurs sous contrôle, mais il a également favorisé la confiance entre les propriétaires de domaine et leurs visiteurs.

Malheureusement, rien n'est parfait.

Il s'avère que les CA font des erreurs. Dans de rares cas, ils peuvent se montrer imprudents. Lorsque cela se produit, des certificats illégitimes sont émis (même s’ils semblent être authentiques). Si un CA émet accidentellement un certificat pour votre site Web, mais que vous n'en avez pas fait la demande, c’est qu’il y a un problème. Celui qui a reçu le certificat pourrait être en mesure de :

  1. voler les identifiants de connexion de vos visiteurs et
  2. d’interrompre vos services habituels en fournissant un contenu différent.

Ces attaques arrivent réellement, il y a donc de bonnes raisons de faire attention aux certificats. Le plus souvent, les propriétaires de domaine perdent la trace de leurs certificats et paniquent lorsqu'ils découvrent des certificats qu’ils n’attendaient pas. Nous devons trouver un moyen d'empêcher que ces situations ne viennent ruiner l'ensemble du système.

Certificate Transparency

Ah, Certificate Transparency (CT). CT résout le problème que je viens de décrire, en rendant tous les certificats publics et faciles à vérifier. Lorsque les CA émettent des certificats, ils doivent les soumettre à au moins deux « journaux publics ». Cela signifie que, conjointement, les journaux transportent des données importantes sur tous les certificats fiables sur Internet. Plusieurs entreprises proposent des journaux CT, Google en a lancés quelques-uns. Cloudflare a annoncé le journal Nimbus l'année dernière.

Les journaux sont vraiment très très volumineux et contiennent souvent des centaines de millions d’enregistrements de certificats.

L'infrastructure du journal aide les navigateurs à valider l'identité des sites Web. Lorsque vous lancez une requête « cloudflare.com » dans Safari ou Google Chrome, le navigateur exige en fait que le certificat de Cloudflare soit enregistré dans un journal CT. Si le certificat ne se trouve pas dans ce journal, vous ne verrez pas l'icône de verrouillage à côté de la barre d'adresse. Le navigateur vous avertira alors que le site Web auquel vous essayez d'accéder n'est pas sécurisé. Allez-vous visiter un site Web marqué « NON SÉCURISÉ » ? Probablement pas.

Il existe des systèmes qui vérifient les journaux CT et signalent les certificats illégitimes. Par conséquent, si votre navigateur trouve un certificat valide qui est également fiable dans un journal, tout est sécurisé.

Ce que nous annonçons aujourd'hui

Cloudflare est le leader incontesté de la CT. En plus de Nimbus, nous avons lancé un tableau de bord CT appelé Merkle Town et nous avons expliqué comment nous l'avons fait. Aujourd'hui, nous sortons une version bêta publique de Certificate Transparency Monitoring.

Si vous choisissez CT Monitoring, nous vous enverrons un email chaque fois qu'un certificat est émis pour l'un de vos domaines. Lorsque vous obtenez une alerte, ne paniquez pas : nous appliquons un principe de précaution en envoyant systématiquement des alertes dès qu'une correspondance de domaine possible est trouvée. Parfois, vous pouvez remarquer qu’un certificat est suspect. Peut-être que vous ne reconnaîtrez pas l'émetteur, ou que le sous-domaine n'est pas celui que vous proposez (par exemple, slowinternet.cloudflare.com). Les alertes sont rapidement envoyées, afin que vous puissiez contacter une CA si quelque chose ne semble pas correct.

Cela soulève la question suivante : si les services contrôlent déjà les journaux publics, pourquoi des alertes sont-elles nécessaires? Les erreurs ne devraient-elles pas être détectées automatiquement ? Eh bien, non, parce que le contrôle n'est pas exhaustif. La personne la plus à même de vérifier vos certificats, c’est vous. Vous connaissez votre site Web. Vous connaissez vos informations personnelles. Cloudflare mettra les certificats pertinents juste en face de vous.

Vous pouvez activer CT Monitoring sur le tableau de bord Cloudflare. Il suffit de vous rendre sur l’onglet Crypto et de trouver la carte « Certificate Transparency Monitoring ». Vous pouvez toujours désactiver la fonctionnalité si vous êtes trop populaire dans le monde de la CT.

Si vous êtes dans un plan commercial ou d'entreprise, vous pouvez nous dire qui informer. Au lieu d'envoyer un email au propriétaire de la zone (ce que nous faisons pour les clients Gratuit et Pro), nous acceptons jusqu'à 10 adresses email de destinataires à alerter. Nous faisons cela pour éviter de saturer les grandes équipes. Ces emails n'ont pas besoin d'être liés à un compte Cloudflare et peuvent être ajoutés ou supprimés manuellement à tout moment.

Comment cela fonctionne concrètement

Nos équipes Cryptography et SSL ont travaillé dur pour y parvenir ; ils ont mis à profit le travail de certains outils intelligents mentionnés plus tôt :

  • Merkle Town est une plaque tournante pour les données de CT. Nous traitons tout certificat fiable et toute statistique pertinente présente sur notre site internet. Cela signifie que chaque certificat émis sur Internet passe par Cloudflare et toutes les données sont publiques (donc pas d’inquiétudes à avoir concernant votre vie privée).
  • Cloudflare Nimbus est notre propre journal CT. Il contient plus de 400 millions de certificats.
Remarque : Cloudflare, Google et DigiCert ne sont pas les seuls fournisseurs de journaux CT.

Voici donc le processus... À un moment donné, vous (ou un imposteur) demandez un certificat pour votre site Web. Une autorité de certification approuve la demande et émet le certificat. Dans les 24 heures, la CA envoie ce certificat à un ensemble de journaux CT. C'est à ce moment que nous intervenons : Cloudflare utilise un processus interne connu sous le nom de « The Crawler » pour examiner des millions de dossiers de certificats. Merkle Town envoie The Crawler surveiller les journaux de CT et vérifier les nouveaux certificats. Lorsque The Crawler trouve un nouveau certificat, il extrait l'intégralité du certificat via Merkle Town.

Lorsque nous traitons le certificat dans Merkle Town, nous le vérifions également par rapport à une liste de domaines surveillés. Si vous avez activé CT Monitoring, nous vous enverrons immédiatement une alerte. Cela n'est possible qu'en raison de l'infrastructure existante de Merkle Town. En outre, The Crawler est incroyablement rapide.

J'ai une alerte certificat. Et maintenant ?

Bonne question. La plupart du temps, les alertes de certificat sont de simples alertes de routine. Les certificats expirent et se renouvellent régulièrement, il est donc tout à fait normal de recevoir ces emails. Si tout semble correct (l'émetteur, votre nom de domaine, etc.), ne vous inquiétez pas et jetez cet email à la poubelle.

Dans de rares cas, vous pourriez recevoir un email qui semble suspect. Nous fournissons un article de support détaillé qui vous aidera. Le protocole de base est le suivant :

  1. Contactez la CA (listée comme « Émetteur » dans l’email).
  2. Expliquez pourquoi vous pensez que le certificat est suspect.
  3. La CA doit révoquer le certificat (s'il est effectivement malveillant).

Nous avons également une équipe d’assistance accueillante qui peut être contactée ici. Bien que Cloudflare ne soit pas une CA et ne puisse pas révoquer les certificats, notre équipe d’assistance en connaît un rayon en matière de gestion de certificats et se tient prête à vous aider.

L'avenir

Certificate Transparency a commencé à faire des apparitions régulières sur le blog de Cloudflare. Pourquoi ? C’est exigé par Chrome et Safari, qui dominent le marché des navigateurs et créent des précédents en matière de sécurité Internet. Mais, plus important encore, CT peut nous aider à repérer les certificats malveillants avant qu’ils ne soient utilisés dans des attaques. C'est pourquoi nous continuerons d'affiner et d'améliorer nos méthodes de détection des certificats.

Qu'attendez-vous ? Allez activer Certificate Transparency Monitoring !