IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chrome va avertir les utilisateurs s'ils accèdent à des sites HTTPS utilisant des certificats SSL douteux
En vertu de la Certificate Transparency

Le , par Francky

460PARTAGES

9  0 
Google Chrome est le premier navigateur à implémenter la politique du Certificate Transparency (CT). Devon O'Brien, ingénieur chez Google, a en effet annoncé lors d'une discussion sur Google Groups au début de l'année que « Chrome exigera que tous les certificats de serveur TLS émis après le 30 avril 2018 soient conformes à la politique de Chromium CT ».

Pour information, Certificate Transparency vise à renforcer les contrôles sur les certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF. L’objectif de cette technologie est de faciliter la détection de certificats frauduleux ou invalides par la journalisation, en lecture pour tous, des certificats émis par les autorités reconnues par les navigateurs. La CT exige que toutes les organisations qui fournissent les certificats SSL mettent à sa disposition les logs de tous les certificats qu’elles émettent chaque jour. Ainsi, ces logs seront rendus publics afin de permettre aux éditeurs de navigateurs et à tous ceux qui le souhaitent, de les consulter librement en cas de doute.

Avec l'implémentation de cette politique sur Chrome, lorsque vous accédez à un site HTTPS dont le certificat SSL n’est pas enregistré dans le log (journal) du Certificate Transparency, le navigateur vous affiche un avertissement. « Lorsque Chrome se connectera à un site desservant un certificat public non conforme à la politique Chromium CT, les utilisateurs commenceront à voir un interstitiel pleine page indiquant que leur connexion n'est pas compatible CT », explique O'Brien. « Les sous-ressources servies via des connexions HTTPS non compatibles CT ne pourront pas se charger et afficheront une erreur dans Chrome DevTools », ajoute-t-il. La bonne nouvelle c’est que plusieurs autres fabricants de navigateurs ont accepté eux aussi d’utiliser cette stratégie du CT.


Le fait que le navigateur Chrome avertisse ses utilisateurs va sans doute donner beaucoup plus de crédibilité aux sites web accessibles via le protocole HTTPS. Dès que Chrome a envisagé d’implémenter cette nouvelle stratégie l’année dernière, plusieurs autorités de certification ont commencé à publier leurs logs CT alors qu’avant ces logs étaient strictement confidentiels et mis à la disposition des éditeurs de navigateurs pour d’éventuelles enquêtes.

Chrome a implémenté cette nouvelle stratégie dans ses navigateurs pour les plateformes telles que Windows, macOS, Linux et ChromeOS. De ce fait, désormais, lorsqu’un certificat SSL non enregistré dans un journal CT est émis, Chrome affichera une erreur. Par contre, les anciens certificats émis qui n’avaient pas été enregistrés au CT continueront de fonctionner, car cette nouvelle politique du CT n’est pas rétroactive. Par ailleurs, les ingénieurs de Google ont ajouté un flag au navigateur qui permettra aux utilisateurs de désactiver la vérification des certificats dans les logs CT.

Source : Google Groups

Et vous ?

Que pensez-vous de cette nouvelle mesure que prend Google ?

Voir aussi :

Chrome : Google a décidé de marquer tous les sites HTTP comme non sécurisés, la mesure prendra effet au mois de juillet

Google va révoquer les certificats issus par WoSign/StartCom dès Chrome 61 et suggère à ceux qui en disposent de se tourner vers d'autres autorités

Symantec à nouveau dans le collimateur de Google sur la question des certificats SSL, la filiale d'Alphabet a décidé de prendre des mesures

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Drowan
Membre éprouvé https://www.developpez.com
Le 03/05/2018 à 14:18
Que pensez-vous de cette nouvelle mesure que prend Google ?
C'est cool, on fait des progrès en terme de sécurité et d'avertissement de l'utilisateur.
De plus si on veut prendre des risques l'option est désactivable, autrement dit on garde le controle sur le fonctionnement du navigateur.

Que du positif donc
1  0