Panique au royaume de la navigation sécurisée en HTTPS. Le 24 Mars 2017, Google a annoncé la restriction drastique du niveau de confiance accordé aux certificats SSL de sécurité vendus par Symantec notamment sous ses enseignes GeoTrust et Thawte. Plus de 30 000 certificats ont été émis en dehors des règles de vérification d’usage par l’éditeur de SSL qui représente un tiers des certificats sécurisés.
Le standard TLS (Transport Layer Security) utilise le chiffrement des données échangées entre le serveur Web et le navigateur de l’utilisateur pour garantir la confidentialité et l’intégrité des données échangées.
En l’absence du préfixe https://, les échanges sont visibles par n’importe quel membre du même réseau (réseau d’entreprise ou WIFI publique par exemple) et il est ainsi possible de se faire dérober ses identifiants, mots de passe et informations de paiement.
Les éditeurs des principaux navigateurs ont récement incité au déploiement de HTTPS, en affichant des avertissements de sécurité sur les formulaires hébergés par des sites non chiffrés.
Certificat SSL associé à un nom de domaine pour une navigation HTTPS sécurisée
Pour chiffrer les échanges, il faut obtenir et installer un certificat qui associe une clé de chiffrement à un nom de domaine (certificat avec validation du domaine ou DV) ou à une organisation (certificat avec validation étendue ou EV).
Il est facile de créer soi-même un tel certificat, cependant, pour obtenir l’affichage du cadenas vert (certificat DV) et du nom de l’organisation (certificat EV) dans la barre d’adresse du navigateur, il faut obtenir le certificat via une des autorités de certification (CA) reconnues par les navigateurs.
Ces autorités, dont Symantec fait partie, s’engagent à respecter un cahier des charges strict pour vérifier le nom de domaine ou l’organisation qui requiert un certificat. La différence de prix entre les différents types de certificats s’explique notament par le niveau de vérification qui doit être réalisé par le CA.
Les certificats SSL Symantec pénalisés par Chrome, la navigateur de Google
L’équipe de Google Chrome a pris à défaut Symantec à plusieurs reprises et lui reproche d’avoir permis l’émission de certificats pour des noms de domaine tels que *.google.com sans l’autorisation de Google ou plus récement de n’avoir pas correctement validé 30 000 certificats.
Ainsi, l’équipe de développement de Chrome a décidé de ne plus afficher le nom de l’organisation dans les certificats EV de Symantec et de réduire progressivement la durée de validité de tous les certificats de Symantec à une durée maximum de 9 mois afin de minimiser la durée d’impact des certificats déjà émis. Symantec et ses enseignes GeoTrust ou Thawte seraient à l’origine d’entre 30% et 42% des certificats en cours de validité.
Si vous pensez être impacté par ce problème, Solidnames peut vous accompagner pour diagnostiquer vos certificats SSL et vous en fournir de nouveaux, émis par des authorités de certification qui bénéficient de toute la confiance de Google pour une navigation sécurisée.