Attention : d’ici peu, les certificats SSL de Symantec ne seront plus pris en charge par Google
Google a la ferme intention de veiller à ce que l’on puisse continuer à faire confiance aux sites sécurisés via HTTPS. Du fait que Google est d’avis que Symantec s’est montrée quelque peu trop laxiste dans le cadre de l’émission de ses certificats SSL, le numéro un des moteurs de recherche a décidé de prendre des mesures drastiques. D’ici quelque temps, le navigateur Chrome ne fera en effet plus confiance aux certificats de Symantec. Mais qu’est-ce que cela signifie au juste ?
Quel est le rôle d’un certificat SSL ?
Pour pouvoir établir une connexion sécurisée avec un site web, ce dernier doit disposer d’un certificat SSL. Outre le certificat Let's Encrypt gratuit, qui est inclus avec chaque pack d’hébergement de Combell, vous pouvez également opter pour un certificat payant, qui offre de meilleures garanties et est émis par des autorités de certification telles que Symantec, Comodo, Verisign, etc. (Lisez aussi : Un certificat SSL premium ou un certificat Let’s Encrypt gratuit… que choisir ?)
Pourquoi Google a-t-il des doutes au sujet des certificats SSL de Symantec ?
La procédure d’émission et de gestion des certificats est encadrée par des règles fixées par le CA/Browser Forum. Comme son nom l’indique, les membres de ce forum peuvent être soit des vendeurs de navigateurs, soit des autorités de certification. Et lorsque ces règles ne sont pas respectées, les fournisseurs de navigateurs et de systèmes d’exploitation peuvent décider de ne plus faire confiance aux certificats concernés.
Et c’est bien cela qui s’est passé, puisque Google accuse Symantec de ne pas avoir tenu compte des procédures de sécurité d’usage. De ce fait, des certificats auraient été émis indûment, causant divers incidents. Pour cette raison, Google a décidé de ne plus accorder sa confiance aux certificats SSL émis directement par Symantec ou par une de ses filiales (GeoTrust, Thawte, RapidSSL).
Quelles mesures Google a-t-il annoncé contre les certificats SSL émis par Symantec ?
Les futures versions du navigateur Chrome ne feront plus confiance aux certificats de Symantec, un processus qui se déroulera en deux étapes :
Dans la version 66 de Chrome, qui sera disponible à la mi-avril 2018, les certificats Symantec émis avant le 1/6/2016 ne seront plus pris en charge.
Et dans la version 70 de Chrome, dont la sortie est prévue pour octobre 2018, plus aucun certificat émis par Symantec (ou ses filiales) ne sera pris en charge.
Concrètement, cela signifie que l’utilisateur final qui visite un site web après la date indiquée à l’aide de son navigateur Chrome ne pourra établir aucune connexion HTTPS avec ce site web si le certificat provient de Symantec (ou une de ses filiales). L’utilisateur obtiendra alors un avertissement, ce qui ébranlera sérieusement la confiance qu’il accorde à ce site !
Firefox envisage lui aussi de prendre des mesures similaires, mais aucun planning définitif n’a encore été communiqué.
Quelle est la marche à suivre pour les détenteurs de certificats SSL de Symantec ?
Cette mesure prise par Google aura un énorme impact sur le web. D’après une étude réalisée par Netcraft en 2015, Symantec serait en effet à l’origine d’environ un tiers des certificats SSL utilisés sur Internet.
Le but est donc que les détenteurs d’un certificat SSL émis par Symantec ou une de ses filiales remplacent ce certificat dans les délais susmentionnés. Pour ce faire, l’idéal est qu’ils prennent contact avec la société où ils ont acheté le certificat.
Astuce : Dès que la version 62 du navigateur Chrome sera disponible (le 24 octobre 2017), mieux vaut que vous visitiez vos sites web avec le navigateur Chrome, en gardant le panneau des outils de développement ouvert. Ainsi, vous pourrez voir les sites web qui ne seront plus pris en charge dans Chrome 66.
Qu’est-ce que cela signifie pour les clients de Combell qui utilisent un certificat SSL ?
Il n’y aura pratiquement aucun changement pour les clients de Combell. 98 % de nos clients ont en effet installé des certificats de Comodo, une autorité de certification qui a généralement été recommandée par Combell. Les rares clients qui seront impactés par cette mesure seront contactés personnellement par le service d’assistance de Combell, de manière à pouvoir trouver la meilleure solution au problème.