Sécurité : L’équipe de Chrome a détaillé ses plans concernant les certificats de Symantec. Les certificats émis par l’autorité avant le 1er décembre 2017 ne seront plus jugés dignes de confiance par Chrome à partir de Chrome 66, prévu pour début 2018.

Chrome poursuit son plan annoncé à l’égard de Symantec. Suite à des erreurs constatées à plusieurs reprises dans la gestion des certificats émis par Symantec, Google avait en effet posé un ultimatum à l’autorité de certification de Symantec. Celle-ci devait accepter de mettre en place des changements dans ses méthodes de vérification et d’émission des certificats afin de se mettre en conformité avec les bonnes pratiques édictées par Google au sein de son initiative Certificate Transparency.

Symantec a donc accepté de revoir sa copie et a notamment annoncé mettre en place les changements proposés par Google. Pour autant, l’équipe de Chrome joue la carte de la prudence et annonce qu’à terme, Chrome ne fera plus confiance aux certificats émis par Symantec avant le début du mois de décembre 2017 comme le rapporte ZDNet.com.

publicité





Cette évolution se fera progressivement : à partir de Chrome 62, prévu pour le mois d’octobre, le navigateur commencera à afficher des avertissements sur les pages utilisant des certificats Symantec voués à être abandonnés. À partir de Chrome 66, prévu pour le 17 avril 2018, Chrome ne fera plus confiance aux certificats Symantec émis avant la date du 1er juin 2016. La phase finale du plan sera achevée avec la publication de Chrome 70, en fin d’année 2018, qui cessera d’accorder sa confiance aux certificats émis avant le changement d’infrastructure de Symantec, quelle que soit la date d’émission de ceux-ci.

Pour les administrateurs de site web disposant de certificats Symantec, il convient donc de se procurer de nouveaux certificats sous peine de voir les utilisateurs de Chrome fuir leurs sites. Au vu de la popularité de Chrome sur le marché des navigateurs, difficile de négliger ces internautes. L’utilisation de certificats datés pourrait empêcher par exemple l’activation du chiffrement HTTPS sur les sites qui souhaiteraient protéger les données échangées avec leurs internautes. Les administrateurs devront donc se procurer de nouveaux certificats : auprès de Symantec, avec sa nouvelle infrastructure revue et corrigée pour répondre aux attentes de Google, ou auprès d’une autre autorité de certification.

Voir aussi notre page

Chiffres clés : le marché mondial des navigateurs Internet

