
Il ne s’agit pas d’une mesure définitive. En effet, plus loin dans sa note d’information, Google précise que la mesure court jusqu’à la version 73 de son navigateur. Il y a moins d’un mois que l’entreprise a publié la bêta de Chrome 70. La version stable pour sa part est attendue à mi-parcours de ce mois et bloquera tous les certificats émis sous des marques Symantec. On parle de GeoTrust, Equifax, Thawte, RapidSSL, Verisign, ainsi que de ceux émis par les revendeurs affiliés à Symantec.
L’annonce de Google fait suite à des frictions avec l’autorité de certification adossée à la firme de sécurité. En 2015, Stephan Somogyi – ingénieur Google affecté au projet Certificate Transparency – a découvert que Symantec a délivré une série de précertificats EV sans l’accord de Google. Le géant de la recherche avait dû mettre ces derniers sur liste noire, puis les révoquer. L’année 2017 s’était quant à elle s’était ouverte sur des accusations de la firme de Mountain View dirigées contre trois autorités de certification liées à Symantec. D’après Google, ces dernières ont procédé à l’émission d’une centaine de certificats TLS invalides. De façon brossée, cela fait un moment que Google dit ne « plus avoir confiance dans les politiques d’émission et les pratiques de Symantec en matière de gestion des certificats. »
D’après les développements de Scott Helme, un bon millier de sites Web est affecté. Sur son blog, le chercheur en sécurité dresse une liste de 1139 sites du top 1 million de l’index Alexa. Quelle alternative (pour tous ces éditeurs de sites laissés aux abois) d’ici à la sortie de Chrome 73 ? Let’s Encrypt. Les certificats de cette autorité bénéficient de la confiance des principaux éditeurs de navigateurs. À date, l’organisation à but non lucratif a délivré (gratuitement) un minimum de 380 millions de certificats.
Sources : Support Google, blog Helme
Et vous ?


Voir aussi :


