RFC 6962 : Certificate Transparency
Plusieurs attaques spectaculaires, notamment celle contre #DigiNotar, ont montré la fragilité de l’actuel système de gestion de certificats #X.509. Comme n’importe quelle AC peut émettre un certificat pour n’importe quel nom de domaine, il ne suffit pas d’évaluer la sécurité de son AC, il faudrait idéalement évaluer toutes les AC. Ce RFC propose une approche différente : encourager/obliger les AC à publier « au grand jour » les certificats qu’ils émettent. Un titulaire d’un certificat qui craint qu’une AC n’émette un certificat à son nom sans son autorisation n’a alors qu’à surveiller ces publications. (Il peut aussi découvrir à cette occasion que sa propre AC s’est fait pirater ou bien est devenue méchante et émet des certificats qu’on ne lui a pas demandés.)