Chrome 70 et HTTPS : certificats Symantec à remplacer

Dans sa croisade pour sécuriser le web, Google pousse depuis plusieurs années la généralisation du HTTPS. Malheureusement, tous les certificats SSL ne sont pas égaux aux yeux de Google, en conflit avec Symantec, leader du marché des certificats SSL. La menace était leur désaveu dans le navigateur Chrome, au titre de la préservation de la confidentialité des internautes, bloquant l’accès aux sites utilisant ces certificats.

Dans le détail, aussi bien Mozilla (créateur de Firefox) que Google ont identifié des failles dans les certificats émis par Symantec et ses filiales (représentant 30% des certificats SSL du web), ces certificats n’étaient pas conformes aux normes du secteur (définies par le Forum CAB). En enquêtant davantage, il a été révélé que Symantec a délégué l’émission de certificats SSL à des entreprises sans mettre en place les contrôles nécessaires, en étant pourtant informé de manquements de sécurité de leur part. Ceci étant le dernier incident d’une série de la part de Symantec, l’équipe Chrome chez Google en concertation avec les autorités de certification a mis en place un plan d’action visant à désavouer l’ensemble des certificats SSL émis par Symantec.

Planning du désaveu des certificats SSL Symantec sur Chrome et Firefox

Côté webmasters, les dates butoirs sont connues depuis septembre 2017. Google a récemment publié un rappel de l’urgence d’agir, par un billet alarmiste à juste titre, “Immediate action needed by site operators”.

Au 16 octobre 2018, à la sortie de Chrome 70 : Désaveu de tous les certificats Symantec.
Planning sortie Google Chrome 70

Pour Firefox, la sortie de la version 63 en octobre également donnera les mêmes résultats.

Votre site est-il concerné ?

Les alertes sont bien présentes pour qui sait regarder :
Les Developer Tools de Google Chrome (accessibles par la touche F12), dans leur onglet Console, remontent un avertissement jaune de type

« The SSL certificate used to load resources from https://www.votre-site.fr will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. »

« Le certificat SSL utilisé pour charger les ressources de https://www.votre-site.fr sera désavoué dans Chrome 70. »

(explications : les ressources sont tous les éléments composant une page, dont le fichier HTML, M70 fait référence à la version de Chrome)

Pour être fixé : les prochaines versions de Google Chrome sont accessibles en version de test (beta) par Google Canary, qui a toujours quelques versions d’avance. Attention donc aux certificats émis par Symantec et ses filiales Thawte, Verisign, GeoTrust ou RapidSSL.

A quoi va ressembler un site au certificat désavoué ?

Le site reste accessible, si on passe outre l’avertissement et que l’on autorise l’accès dans les Paramètres Avancés. Le résultat sera similaire dans Firefox.

Pour l’anecdote, Symantec a depuis revendu son activité d’autorité de certification (CA, Certificate Authority) à DigiCert, sans impact sur la roadmap de Google.

Septembre 2018 : Le certificat SSL/TLS de https://votresite.fr/ doit être remplacé

Google dispose d’un outil privilégié de communication avec les webmasters à travers la Search Console : plusieurs d’entre eux ont donc reçu un message de type WNC-20069289

google-message-search-console-certificat-ssl

 

Novembre 2018 : l’erreur err_cert symantec legacy s’affiche dans Chrome

Constatant le grand nombre de sites encore concernés, Mozilla a annoncé le report du désaveu à la fin de l’année. A la date butoir du 17/10, Google annonce que le déploiement sera porgressif : un faible pourcentage d’utilisateurs seront bloqués, pour arriver à 100% sur les semaines suivantes. Les Erreurs liée à la confidentialité commencent à être légion dans Google Chrome, le détail de l’erreur étant “err_cert symantec legacy“. Voici une démonstration constatée le 22/11.

err-cert-symantec-legacy

 

[Total : 1    Moyenne : 5/5]
Pour marque-pages : Permaliens.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *