Google est désormais une autorité de certification root. La firme indique dans un billet de blog que cette bascule est cruciale dans la reconnaissance de « l’importance fondamentale » du HTTPS. Les utilisateurs ne devraient sentir aucune différence.

Google était depuis longtemps une autorité subordonnée de certification (GIAG2). L’éditeur était donc un intermédiaire dans la chaine de sécurité, mais la confiance apportée à ses certificats dépendait de certificats racine d’autres prestataires. Pour des questions pratiques et gagner du temps, Google est désormais sa propre autorité de certification racine, ou root.

Une transition invisible pour l'utilisateur

Comme l’indique l’éditeur dans un billet de blog, le certificat racine va permettre à l’entreprise de diffuser plus rapidement et efficacement le HTTPS dans l’ensemble de ses produits : « Il est évident que le HTTPS continuera à être une technologie fondamentale. C’est pourquoi nous avons décidé d’étendre nos efforts sur l’autorité de certification pour y inclure notre propre autorité racine ».

Un mouvement qui aura plusieurs conséquences, mais pas pour les utilisateurs, pour qui la transition devrait être invisible. Les certificats déjà utilisés par Google continueront d’être utilisés en l’état jusqu’à leur date d’expiration. L’arrivée des certificats émanant de cette autorité se fera graduellement, soit pour de nouveaux produits, soit en remplacement progressif des anciens.

Les développeurs passeront par les Google Trust Services

Pour les développeurs par contre, cela signifiera l’inclusion à court ou moyen terme des nouveaux certificats racine de Google. On parle bien évidemment ici de ceux qui bâtissent des services et applications qui interagiraient avec ceux de la firme. Elle lance d’ailleurs pour gérer ces demandes les Google Trust Services, nouvelle entité qui traitera de ces questions pour tout ce qui touche à Google ou Alphabet.

La société note cependant que l’intégration des certificats racine dans les produits peut prendre du temps, de même que l’attente des versions associées à ces produits. Pour simplifier cette transition, Google a donc racheté deux autorités de certification racine, à savoir GlobalSign R2 et R4. Elles vont permettre de commencer à gérer plus vite des certificats. Notez que parallèlement, tout ce qui touche à l’autorité intermédiaire GIAG2 continuera de fonctionner sans modification.

Tous les œufs dans le même panier ?

On peut toutefois se demander si ce dernier mouvement de Google ne revient pas à mettre tous ses œufs dans le même panier. Dans la chaine qui relie l’internaute à un service web, la firme dispose en effet d’une très forte intégration verticale. Google est en effet en capacité d’offrir désormais un certificat racine, l’infrastructure pour les sites web, les domaines, les DNS, la connexion (Google Fiber aux États-Unis), le navigateur et le système d’exploitation.

Les développeurs qui souhaitent intégrer les nouveaux certificats racine pourront donc le faire depuis les Google Trust Services. Ces certificats permettent pour rappel de confirmer l’authenticité d’un site web et d’établir des connexions SSL/TLS. Une initiative logique quand on sait que Google vient de commencer (tout comme Mozilla d'ailleurs) une transition dans Chrome en marquant les connexions comme non sécurisées sur les sites ne disposant pas du HTTPS.