La marque de certificats SSL Comodo s’appelle désormais Sectigo, mais il y a plus…
Initialement, il avait été annoncé que la transition de Comodo vers les certificats SSL Sectigo impliquerait uniquement un changement de nom et de logo. Mais il semblerait qu'il y ait aussi eu un changement au niveau de la structure de la racine, ce qui poserait des problèmes à certains clients. Voici donc une mise à jour de la situation…
Modification de la structure de la racine
Dans notre article intitulé « La marque de votre certificat SSL change de nom : Comodo devient Sectigo », nous avions annoncé que cette opération n'impliquerait qu'un changement extérieur du nom et du logo à utiliser pour le certificat SSL. Rien n'allait changer au niveau de la racine même, avions-nous indiqué, d'après les informations disponibles à l'époque.
Mais entre-temps, il semblerait que la structure de la racine ait tout de même été modifiée, de même que les certificats intermédiaires. En effet, au lieu de la Comodo Root CA, on utilisera à présent la USERTrust Root CA, qui existe depuis 2010 et dont la prise en charge est garantie par la plupart des navigateurs.
Mais les systèmes d'exploitation ou clients moins récents peuvent toujours rencontrer des problèmes, du fait qu'ils ne reconnaissent pas le certificat. Résultat : l'internaute obtiendra un message d'erreur dans son navigateur. À cause de cela, il ne fera pas confiance au site, qu'il quittera promptement. Ce qui se traduira par une vente manquée d'un produit ou d'un service...
Le problème se pose avec ces appareils/navigateurs
Le certificat RSA USERTrust n'est pas pris en charge par les appareils tournant sous MacOS 10.11 ou toute version antérieure. D'autres appareils tournant sous un système d'exploitation obsolète, comme une ancienne version d'Android, peuvent également donner lieu à un message d'erreur lorsque le visiteur arrive sur un site où le nouveau certificat Sectigo est installé.
Les clients ou logiciels obsolètes sont également concernés.
Voici comment résoudre ce problème
La méthode la plus simple et la plus sûre consiste tout simplement à mettre à jour le système d'exploitation – pour MacOS, il faut passer à la version 10.12 ou toute version plus récente. Et tous les avertissements concernant le certificat racine disparaîtront alors instantanément ! Une telle mise à jour est très facile à effectuer en passant par l'App Store.
Il y a aussi une autre solution, mais nous ne la recommandons pas. Vous pourriez en effet acheter un nouveau certificat SSL d'une autre marque, comme Geotrust ou RapidSSL. Nous vous déconseillons toutefois de le faire, parce que cela entraînerait des dépenses inutiles. Votre certificat Comodo/Sectigo actuel reste en effet valable jusqu'à sa date d'expiration !
La simple mise à jour de votre système d'exploitation est la meilleure méthode, et aussi la plus sûre !
L'explication sous-jacente
La sécurisation via SSL repose sur une chaîne de confiance (Autorité de Certification (AC) > émetteur du certificat (comme Comodo/Sectigo) > votre propre certificat SSL). Votre certificat SSL est donc signé par une AC, ce qui lui permet d'être accepté par votre navigateur.
L'identité des différentes AC est définie par défaut dans le navigateur, via les certificats racine de l'AC. Les éditeurs de navigateurs tels que Mozilla, Google et Microsoft s'assurent que les mises à jour remplacent automatiquement les certificats obsolètes ou expirés par de nouveaux certificats.
Mais pour s'assurer que les certificats ne soient pas compromis, une telle autorité de certification doit satisfaire à des exigences de sécurité très strictes. Par conséquent, un émetteur de certificats tel que Comodo/Sectigo utilise des certificats intermédiaires pour signer les certificats SSL. Le but est le suivant : lorsque la clé privée d'un des certificats intermédiaires est piratée, seuls les certificats qui dépendent de ce certificat intermédiaire sont compromis, et la clé privée du certificat racine reste intacte.
Pourquoi SSL?
Pour conclure, rappelons que si vous souhaitez proposer un site web sécurisé via HTTPS, vous aurez d'office besoin d'un certificat SSL. Un site sécurisé inspirera une plus grande confiance à vos visiteurs, et bénéficiera d'un meilleur classement dans les moteurs de recherche.
Savoir plus sur nos certificats SSL