Sommaire
SSL ou Secure Sockets Layer
SSL signifie Secure Sockets Layer. En bref, il s’agit d’une technologie standard destinée à la sécurité de la connexion Internet et à la protection des données sensibles qui sont transmises entre deux systèmes, empêchant les criminels de lire et de modifier les informations transférées.
Il existe différents types de certificats SSL et de nombreuses autorités de certification (GlobalSign, Symantec, Thawte, GeoTrust, Comodo…),Si le groupe Symantec détient de larges part de marché, ce n’est pas pour autant qu’il faut se précipiter sur leurs produits:
Google a annoncé que les certificats émis par Symantec vont être dépréciés (Ceci s’applique également aux marques appartenants à Symantec : Thawte, VeriSign, Equifax, GeoTrust, et RapidSSL).
Votre site est-il concerné ?
Si votre site a un certificats SLL / TLS émis par Symantec ou ses filiales (émis avant le 1er juin 2016), il est effectivement concerné.
Selon SearchMetrics, 16% des sites français seront inaccessibles dès le 16 octobre 2018.
Un pop-up d’avertissement apparaîtra sur le navigateur Chrome.
Les alertes sont présentes dans les Developpers Tools de Google Chrome (accessible par la touche f12).
Lorsque vous cliquez dessus, un encart jaune apparaît en haut de la Console avec écrit » « Le certificat SSL utilisé pour charger les ressources de https://www.votre-site.fr sera désavoué dans Chrome 70. » »
Concrètement, utiliser le protocole https ne sera plus suffisant pour qu’une connexion à un serveur soit considérée comme sécurisée dans Chrome : il faudra en plus un certificat conforme. Dans ce cas contraire, un message d’alerte signalera la non validité du certificat !
Pour tester vos certificats, vous pouvez d’ores et déjà utiliser l’outil fourni par Google:
https://transparencyreport.google.com/https/certificates?hl=fr
Quand ?
Le projet Google s’articule autour de trois grandes dates : le 1er décembre 2017, le 15 mars 2018 et le 13 septembre 2018. Aucune action n’était requise de votre part pour le 1er décembre 2017. En revanche, les deux échéances de 2018 représentent des dates butoirs de remplacement des certificats concernés.
Pourquoi ?
Google fait campagne depuis des mois pour accélérer l’adoption de protocoles sécurisés par les webmasters. Il estime que Symantec n’a pas respecté les pratiques de sécurité que l’on peut attendre d’une autorité de certification, en particulier dans la procédure de validation du contrôle de domaine, l’audit des logs pour mettre en évidence les délivrances illicites et plus de vigilance dans la délivrance de certificats frauduleux.
Les certificats édités par Symantec et leur infrastructure n’obéissaient donc pas aux critères d’exigence du marché. Ils ont été délivré sans aucune vérification.
Que faire?
DigiCert est désormais responsable de la validation et de l’émission de tous les certificats SSL/TLS Symantec Website Security, à savoir les certificats Symantec et ceux de ses AC affiliées (Thawte, GeoTrust et RapidSSL). Nouveaux ou remplacés, tous les certificats Website Security émis par DigiCert (à partir de l’une de nos racines approuvées) seront considérés comme fiables par Google Chrome.
DigiCert remplace tous vos certificats gratuitement. Inutile de changer de compte ou de plateforme. Vous pouvez continuer à utiliser votre compte Symantec actuel pour remplacer et commander vos certificats SSL/TLS.
Source:
https://www.search-foresight.com/certificate-transparency-https-nachetez-plus-nimporte-certificat/
https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html
https://community.digicert.com/en/blogs.entry.html/2017/10/08/information-for-replacement-of-symantec-ssltls-certificates.html
https://opensrs.com/blog/2017/09/google-symantec-resolve-chrome-browser-trust-issues/
https://www.websecurity.symantec.com/fr/fr/blog/replace-your-symantec-ssl-tls-certificates