Statut de système | SwissSign
Une spécialiste de la Poste Suisse pour la sécurité des données

Section générale

31.03.2017

CT Log SSL Gold EV: Maintenant aussi avec Precertificate!

 

Le projet CT-Log est utilisé pour vérifier les certificats. Les journaux répertorient tous les certificats délivrés par toutes les autorités de certification dans le monde entier et sont ouverts à tous. Ainsi, chaque opérateur de site Web peut surveiller ses propres domaines et identifier les mauvaises émissions.

Les autorités de certification peuvent énumérer les certificats déjà pendant la phase d'application (ce qu'on appelle "pré-certificat"), ou seulement après l'approbation et la délivrance. Avec un Precertificate, les informations de connexion des opérateurs de journal sont entrées sous la forme d'une extension de certificat x509v3 appelée Certificate Certificate Stamp (SCT) et peuvent être reconnues directement par n'importe quel navigateur Web. Dans le cas d'une entrée après l'émission, les informations de journal ne sont transmises que dans le cadre d'une requête de validité à l'aide de «OCSP Stapling». Cette dernière méthode est plus élégante puisque les opérateurs de journal peuvent également mettre fin à leur fonctionnement et le certificat est toujours fourni avec un remplacement pour le journal terminé. Toutefois, OCSP Stapling n'est pas encore pris en charge par tous les serveurs Web. Les serveurs Web suivants supportent actuellement l' OCSP stapling:

• Apache> 2.2.3

• Nginx> 1.3.7

• Microsoft IIS Windows Server> 2008

• HA Proxy> 1.5.0

• Serveur Web LiteSpeed> 4.2.4

• F5 Networks BIG-IP> 11.6.0

SwissSign a toujours offert des certificats EV via le processus d'aggravation OCSP. Une nouvelle fonctionnalité est la possibilité d'utiliser les certificats Precertificate for SSL Gold EV. Dans la dernière étape de la demande de certificat, la méthode appropriée pour le journal CT doit être sélectionnée.