Certificate Transparency et https : n'achetez plus n'importe quel certificat
Ecrit par Marc Grosvalet
le
Google fait campagne depuis des mois pour accélérer l’adoption de protocoles sécurisés par les webmasters. L’une des principales raisons invoquées (en dehors des raisons pratiques qui arrangent Google) est de sécuriser les échanges d’information entre utilisateurs et serveurs web. Mais https:// repose sur des certificats, permettant d’authentifier les sites webs et leur propriétaire. Le problème, c’est que les certificats sont délivrés par des organismes dont le sérieux est variable. Et certains organismes n’ont aucun scrupule et délivrent des certificats sans aucune vérification.
Il m’a toujours semblé incohérent de promouvoir un système reposant sur des autorités de certification autoproclamées et non contrôlées.
Mais Google a dû prendre conscience du problème, et vient de lancer une initiative qui devrait conduire à faire le ménage. Dès 2017, si vos certificats ne sont pas conformes, vous risquez quelques déconvenues…
GOOGLE rend la conformité avec la transparence des certificats obligatoire sur Chrome en 2017
La transparence des certificats « Certificate Transparency » a été initiée par quelques acteurs dont Google en 2011. Le consortium créé pour faire le ménage et éliminer les certificats frauduleux a défini des procédures de vérification des informations émises par les propriétaires de sites, et des outils de contrôle de la validité des certificats;
En 2013, Google a fait partie des pionniers en publiant les premiers « transparency logs« .
Mais Google a décidé d’accélérer les choses en rendant la compatibilité des certificats avec les règles de la certificate transparency obligatoire dans Chrome.
Concrètement, utiliser le protocole https ne sera plus suffisant pour qu’une connexion à un serveur soit considérée comme sécurisée dans Chrome : il faudra en plus un certificat conforme. Dans ce cas contraire, un message d’alerte signalera la non validité du certificat !
Pour tester vos certificats, vous pouvez d’ores et déjà utiliser l’outil fourni par Google.
Si votre certificat ne passe pas le test, vous savez ce qu’il reste à faire : obtenir un nouveau certificat émis par une autorité de certification digne de ce nom…
Plus d’informations : https://www.certificate-transparency.org/