Google devient une autorité de certification racine pour ses propres services
Les développeurs sont invités à effectuer quelques modifications

Le , par Stéphane le calme, Chroniqueur Actualités
L’année dernière, Google a rajouté une section dans son rapport de transparence dédiée au chiffrement HTTPS : comme l’a expliqué le numéro un de la recherche, cette partie était réservée à l’affichage du pourcentage de trafic chiffré sur les produits Google et des sites populaires sur le web. À côté de produits comme Google Drive, Google News ou même Finances se sont ajoutés YouTube et Calendar.

L’entreprise a donc clairement affiché son intention de déployer le HTTPS sur l’ensemble de ses produits. C’est dans ce contexte que Google a décidé d’avoir sa propre autorité de certification racine. Comme l’a rappelé Ryan Hurst, Security and Privacy Engineering chez Alphabet, « nous avons exploité notre propre autorité de certification subordonnée (GIAG2), émise par un tiers. Cela a été un élément clé nous permettant de gérer plus rapidement les besoins de certificats SSL / TLS des produits Google ».

Mais Alphabet a décidé d’aller plus loin. En effet, « comme nous attendons avec impatience l'évolution à la fois du web et de nos propres produits, il est clair que HTTPS continuera à être une technologie fondamentale. C'est pourquoi nous avons pris la décision d'élargir nos efforts actuels d'autorité de certification afin d'inclure le fonctionnement de notre propre autorité de certification racine. À cette fin, nous avons créé Google Trust Services (https://pki.goog/), l'entité sur laquelle nous comptons utiliser ces Autorités de certification pour le compte de Google et d'Alphabet ». Toutefois, ce qui concerne l’autorité intermédiaire GIAG2 continuera de fonctionner sans modification.

Étant donné qu’il peut avoir un certain délai entre l’incorporation des certificats racines dans les produits et leur déploiement dans les versions associées, Alphabet a pris les devants et a décidé d’acquérir deux autorités de certification racine que sont GlobalSign R2 et R4. « Ces certificats racines nous permettront de commencer l'émission de certificats indépendants le plus rapidement possible », a expliqué Hurst.

L’impact de cette transition ?

Du côté des utilisateurs, il n’y aura pas d’impact visible. En revanche, pour les développeurs qui conçoivent des applications qui se connectent aux services Google, ils devront inclure les nouveaux certificats racines de Google. « Google maintient un exemple de fichier PEM sur (https://pki.goog/roots.pem) qui est mis à jour périodiquement pour inclure les racines possédées et exploitées par Google Trust Services ainsi que d'autres racines qui peuvent être nécessaires maintenant ou à l'avenir afin de communiquer avec et utiliser les produits et services Google ».

« Cela étant dit, même si nous exploitons nos propres racines, nous pouvons encore choisir d'exploiter des autorités de certifications subordonnées sous des racines exploitées par des tiers ».

Source : Google

Voir aussi :

97 % du trafic YouTube s'appuie désormais sur le chiffrement HTTPS, une réalisation qui est l'aboutissement de deux ans de travail


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Développeur PHP F/H
Zenika - Bretagne - Rennes (35000)
Consultant ERP/WMS H/F
Page Personnel - Bretagne - Rennes (35000)
Développeur Java H/F
SMILE - Rhône Alpes - Lyon (69000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil