L’annonce est de la firme de Mountain View au travers de l’une des pages de support dédiées à Google Chrome. Le navigateur ne prendra plus en charge les certificats HTTPS émis par Symantec à partir de la version 70. L’accès (avec Google Chrome) à un site qui s’appuie sur un artifice de sécurisation fourni par Symantec entraînera l’apparition du message d’erreur « Not Secure. »
Il ne s’agit pas d’une mesure définitive. En effet, plus loin dans sa note d’information, Google précise que la mesure court jusqu’à la version 73 de son navigateur. Il y a moins d’un mois que l’entreprise a publié la bêta de Chrome 70. La version stable pour sa part est attendue à mi-parcours de ce mois et bloquera tous les certificats émis sous des marques Symantec. On parle de GeoTrust, Equifax, Thawte, RapidSSL, Verisign, ainsi que de ceux émis par les revendeurs affiliés à Symantec.
L’annonce de Google fait suite à des frictions avec l’autorité de certification adossée à la firme de sécurité. En 2015, Stephan Somogyi – ingénieur Google affecté au projet Certificate Transparency – a découvert que Symantec a délivré une série de précertificats EV sans l’accord de Google. Le géant de la recherche avait dû mettre ces derniers sur liste noire, puis les révoquer. L’année 2017 s’était quant à elle s’était ouverte sur des accusations de la firme de Mountain View dirigées contre trois autorités de certification liées à Symantec. D’après Google, ces dernières ont procédé à l’émission d’une centaine de certificats TLS invalides. De façon brossée, cela fait un moment que Google dit ne « plus avoir confiance dans les politiques d’émission et les pratiques de Symantec en matière de gestion des certificats. »
D’après les développements de Scott Helme, un bon millier de sites Web est affecté. Sur son blog, le chercheur en sécurité dresse une liste de 1139 sites du top 1 million de l’index Alexa. Quelle alternative (pour tous ces éditeurs de sites laissés aux abois) d’ici à la sortie de Chrome 73 ? Let’s Encrypt. Les certificats de cette autorité bénéficient de la confiance des principaux éditeurs de navigateurs. À date, l’organisation à but non lucratif a délivré (gratuitement) un minimum de 380 millions de certificats.
Sources : Support Google, blog Helme
Et vous ?
Qu’en pensez-vous ?
Vos sites Web s’appuient-ils sur les certificats Symantec ? Si oui, quelles dispositions avez-vous prises ?
Voir aussi :
Symantec se sépare de certains de ses employés qui ont émis des certificats SSL Google de façon inappropriée
Symantec à nouveau dans le collimateur de Google sur la question des certificats SSL, la filiale d'Alphabet a décidé de prendre des mesures
La plupart des certificats de signature de code utilisés par des malwares n'auraient pas été dérobés à des entreprises, mais simplement vendus
Les versions 70 à 73 de Google Chrome ne prendront pas les certificats HTTPS Symantec en charge :
Des milliers de sites mis à mal
Les versions 70 à 73 de Google Chrome ne prendront pas les certificats HTTPS Symantec en charge :
Des milliers de sites mis à mal
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !