Les certificats délivrés par le CNNIC ne seront plus reconnus par Google et Mozilla

Les certificats délivrés par le CNNIC - l’autorité chinoise de certification numérique – et des autorités de certifications (CA) intermédiaires autorisées par le CNNIC ne seront plus reconnus dans Chrome et Firefox et les autres les produits de Google et Mozilla.

La décision fait suite à une déclaration de Google la semaine dernière, dans laquelle le géant de l’IT affirme avoir remarqué l’émission de certificats non autorisés pour plusieurs des domaines Google. Les certificats auraient en fait été émis par MCS Holdings, une CA intermédiaire basée en Egypte, autorisée par l’autorité chinoise de certification numérique.

Dans une mise à jour de sa déclaration initiale, Google explique qu’à la suite d’une enquête que la firme a menée conjointement avec le CNNIC, il a été résolu que les certificats émis par l’autorité chinoise ou au nom de cette dernière ne seront plus pris en compte dans ses différents produits. Les utilisateurs de Chrome recevront des avertissements de sécurité lorsqu’ils voudront visiter un site authentifié par le CNNIC. Ils auront donc la possibilité d’ignorer l’avertissement et continuer sur le site.

« Cette mesure prendra effet dans une future mise à jour de Chrome », a indiqué la firme de Mountain View. La firme voudrait en fait laisser le temps aux clients touchés par cette mesure pour prendre toutes les précautions nécessaires avant que la sanction n’entre en vigueur. Entre temps, dit Google, « nous allons autorisé les certificats existants du CNNIC à continuer à être marqués comme fiables dans Chrome, grâce à l'utilisation d'une liste blanche révélée publiquement ».

Du côté du CNNIC, la mesure prise par Google n’est logiquement pas bien appréciée. « La décision que Google a prise est inacceptable et incompréhensible pour le CNNIC et en attendant, le CNNIC exhorte sincèrement Google à prendre les droits et les intérêts des utilisateurs pleinement en considération. » A-t-il écrit sur son site. Pour rassurer les clients à qui il a déjà émis des certificats, le CNNIC ajoute encore que leurs « droits et intérêts légitimes ne seront pas affectés ».

Comme si la mesure de Google n’était pas suffisante, Mozilla vient s’aligner sur la décision de son concurrent, en prononçant la même sentence contre l’agence gouvernementale qui supervise le registre des noms de domaine de la Chine.

Après avoir examiné les circonstances et entrepris une « discussion vigoureuse » sur sa liste de diffusion publique, Mozilla a conclu que le comportement du CNNIC - « en délivrant un certificat intermédiaire sans contrainte à une société sans pratiques PKI documentées et sans contrôle de la façon dont la clé privée a été stockée ou contrôlée » - n’était pas conforme à sa politique s'appliquant aux CA, a dit l’éditeur de Firefox.

Sur cette base, Mozilla a décidé de mettre à jour son code de sorte que les produits Mozilla n'aient plus confiance à aucun certificat délivré par le CNNIC avec une date « notBefore » fixée au 1er Avril 2015 ou après. La date notBefore est une date avant laquelle le certificat n'est pas valide, ce qui signifie qu'il ne peut être valide qu'après cette date. Cela implique que les utilisateurs de Firefox recevront des avertissements de sécurité pour les nouveaux sites authentifiés par le CNNIC.

Toutefois, Google et Mozilla donnent à l’autorité de certification chinoise la possibilité de soumettre une nouvelle demande pour sa réintégration, « une fois que les contrôles techniques et procéduraux adéquats sont en place », comme l’a dit Google.

Sources : Blog Google Online Security, Blog Mozilla Security, CNNIC

Et vous ?

Qu’en pensez-vous ?

Quels seraient les impacts des décisions de Google et Mozilla sur les sites web concernés ?