A partir du 8 août prochain, de nombreux webmasters auront peut-être la mauvaise surprise de découvrir que Chrome ne reconnait plus la validité de leur certificat HTTPS ! Et le nombre de certificats concernés est faramineux…

Le problème provient d’un conflit entre Symantec et Google, et de mesures annoncées le 23 mars dernier. Des mesures qui risquent de pénaliser bientôt les propriétaires de certificats émis par les autorités de certification dans le collimateur de Google. Etes vous concerné ?

Pas d’internet sécurisé sans autorités de certification dignes de confiance

Dans la sécurisation des échanges sur internet, le certificat joue un rôle essentiel, car c’est la carte d’identité du serveur, qui garantit que l’on peut identifier avec certitude qui est l’éditeur du service ou du site marchand auquel vous êtes connecté. Les autorités de certification ont pour rôle de contrôler notamment les documents attestant de l’existence et de l’identité des sociétés demandant un certificat.

Le sérieux des vérifications varie beaucoup d’une société à l’autre, et il existe même des « autorités de certification félones » (rogue CAs) qui délivrent des certificats SSL à n’importe qui. Google a lancé il y’a quelques mois une initiative à ce sujet : « Certificate Transparency ». Nous en avions parlé en novembre dernier.

Le logo de l’initiative « Certificate Transparency »

Google vs Symantec

La société Symantec est devenu l’autorité de certification leader du marché par acquisitions successives d’autres sociétés spécialisées, comme VeriSign, GeoTrust, Thawte et RapidSSL. Plus d’un tiers des certificats SSL émis dans le monde sont fournis par le groupe Symantec.

Depuis quelques mois, Google reproche à Symantec des irrégularités constatées lors d’audits : les procédures de contrôle réalisées par certaines de ses filiales ou de ses partenaires ne respectent pas les standards attendus, édictés par le CA/Brower forum.

A la suite de ces constats répétés, et en dépit des déclarations de Symantec promettant de remédier à cette situation, le 23 mars 2017, un ingénieur de Google (Ryan Sleevi) a posté dans un forum spécialisé une déclaration annonçant une série de mesures, et notamment le fait que Google Chrome ne considérerait plus certains certificats comme valides, avec un impact graduel.

Suite à une rencontre entre Google et Symantec, un certain nombre de mesures ont été arrêtées le 23 mai 2017, mesures qui prévoient une date limite importante : le 8 août 2017.

Que se passera-t-il le 8 août prochain ?

A partir du 8 août prochain, les certificats Symantec émis avant le 1er juin 2016 devront avoir été revalidés par une autorité de certification indépendante. Sinon, ils seront considérés par Chrome comme invalides. Notons que Mozilla prévoit des mesures similaires.

Le message qui risque d’apparaître en août en cas de requête https:// adressé à un site détenteur d’un certificat Symantec émis avant le 1er juin 2016

Si votre certificat a été émis après le 1er juin 2016, pour le moment rien ne presse : votre certificat sera considéré comme valide, à condition qu’il respecte les règles édictées par « Certificate Transparency ».

Mon certificat risque de ne pas être valide, est-ce grave ?

Si Google et Mozilla mettent leur menace à exécution, alors oui, il faut agir car les messages d’alertes envoyés par les navigateurs en cas de certificats révoqués sont dissuasifs pour les internautes. Vous risquez de voir votre trafic baisser dans des proportions significatives, ainsi que vos ventes …
Si vous avez un certificat Symantec, Thawte, Verisign, GeoTrust ou RapidSSL, le mieux est de vous renseigner rapidement auprès de la société qui vous a fourni ce certificat pour savoir si une action est nécessaire.

Une situation qui déstabilise toute l’industrie des autorités de certification

Cette situation de crise entre navigateurs et l’autorité de certification leader fait un peu désordre. Elle révèle avant tout que les principales Certificate Authorities ne s’embarrassaient pas toujours de scrupules, et que la rigueur des procédures de contrôle n’avaient parfois rien à envier par rapport aux pratiques des « rogue authorities »
Le monde de la sécurité repose sur la confiance, et le fait qu’un leader comme Symantec soit à ce point sur la sellette crée un véritable malaise. Comment convaincre les webmasters de sécuriser les échanges sur internet dans ces conditions ?

Quand une promesse produit n’est pas remplie à ce point, il y’a de forte chances de voir fuir les clients vers la concurrence … Est-ce que c’est ce qui se passera pour Symantec ?

Pour en savoir plus :

Le post de Google du 23 mars 2017 à propos des certificats Symantec

La réponse de Symantec
https://www.symantec.com/connect/blogs/symantec-backs-its-ca
https://www.symantec.com/connect/blogs/symantec-ca-proposal
Les propositions du 23 mai
https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs%5B201-225%5D
https://www.symantec.com/connect/blogs/symantec-s-response-google-s-subca-proposal?elqTrackId=57082a5ccecc46c08ad067b957dd3612&elq=ec90af40c8f94f2e8ac5e6b425809958&elqaid=2921&elqat=1&elqCampaignId=1321