Certificats Symantec : le couperet tombe chez Chrome

En juillet 2017, Google a annoncé son intention de ne plus faire confiance aux certificats émis par Symantec. Cette décision drastique est le résultat d'un long débat sur la fiabilité de l'autorité de certification Symantec: la société a multiplié les partenariats avec des tiers et leur a permis de délivrer des certificats non conformes à l'état de la technique. l'art dans la sécurité et la transparence. Cette déclaration a donné lieu à une véritable bataille entre Google et Symantec. Google en a profité pour souligner son initiative relative à la transparence des certificats, tandis que Symantec a été contrainte d'abandonner son activité de CA. Mais les principaux navigateurs ont suivi Google et ont annoncé leur intention de ne plus faire confiance aux certificats émis par Symantec et ses partenaires (Symantec, Thawte, Verisign, RapidSSL et GeoTrust.) Conformément à ses engagements, Google annonce que la version 70 de Chrome ne plus faire confiance aux certificats émis par Symantec et ses partenaires. La version 66 avait déjà bloqué les certificats précédents en juin 2016 et cette version 70 étend la mesure à tous les certificats basés sur le certificat racine Symantec. Cette modification signifie que les sites utilisant les certificats en question ne seront plus disponibles pour les utilisateurs de Chrome à partir de la version 70, prévue pour le 16 octobre. Le navigateur affiche à la place un avertissement indiquant que la page en question n'est pas sécurisée et nécessite une manipulation pour permettre à l'utilisateur de voir la page.
Mais si Chrome a annoncé ses plans depuis longtemps, les sites Web ne se sont pas tous adaptés à cette nouvelle situation. Comme le rapporte TechCrunch, un chercheur en sécurité a effectué un recensement rapide et compté un peu plus de 1 100 sites utilisant toujours l'un des certificats affectés par la décision de Google. Ces sites font partie de la liste des sites les plus consultés sur le Web.
Firefox joue la montre
C'est notamment la situation qui pousse Firefox à adopter une attitude légèrement différente. Dans un article de blog publié mercredi, les équipes de Mozilla expliquent que la désapprobation des certificats en question était initialement prévue pour la version 63 de son navigateur, mais que celui-ci sera finalement reporté pour permettre aux administrateurs des sites Web de Mozilla évalue à 1% du nombre total de sites utilisant des certificats Symantec sur le Web, et explique que "le passage de cette mesure de Firefox 63 Nightly à une version bêta aurait un impact significatif sur les utilisateurs. Firefox opte pour un court délai et annonce son intention de reporter cette modification à la version 64 de Firefox, qui paraîtra au mois d’octobre.
Firefox et Chrome ne sont pas les seuls navigateurs à agir sur les certificats Symantec. Edge a également rendu compte de ce sujet début octobre. Dans un message, les responsables du navigateur Edge ont annoncé qu'ils cesseraient progressivement de faire confiance aux certificats Symantec en suivant le calendrier publié par Digicert, qui programme l'expiration progressive des certificats de fin septembre 2018 à mars 2019. Safari, le navigateur de Apple, également publié en June a expliqué que son navigateur adopterait une approche progressive similaire, qui a débuté en juillet 2018.
Les sites qui utilisent l'un de ces certificats ont donc tout intérêt à se mettre à jour s'ils ne veulent pas être mis à la liste noire par les principaux navigateurs. L’opération a conduit Symantec à céder son activité d’autorité de certification, désormais reprise par Digicert. Ces derniers proposent de remplacer gratuitement les certificats concernés par de nouveaux certificats conformes. Symantec détaille la procédure de renouvellement sur une page dédiée.

.

Leave a comment

Send a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.