Depuis le 17 avril dernier, les navigateurs Chrome et Firefox ne reconnaissent plus les certificats émis par Symantec (et toutes ses marques – GeoTrust, Thawte, RapidSSL).

Quelle conséquence majeure ?

Lorsqu’un utilisateur de Chrome ou Firefox se rend sur l’URL d’un site web dont le certificat est fourni par Symantec, il verra le message d’erreur « site non sécurisé ».

Concrètement :

Les utilisateurs n’oseront donc pas avancer dans leur navigation.

L’entreprise sera donc directement impactée par une perte de visibilité de son site (la sécurité étant un critère clé pour le référencement)

On y est ! Le navigateur Google Chrome passe en version 66 et Mozilla Firefox passera courant mai en version 60. Ces versions vont mettre à mal des milliers de sites Web en France et ailleurs en raison de certificats SSL désormais considérés comme obsolètes.

Pourquoi ?

Symantec (repris depuis octobre 2017 par l’entreprise DigiCert) a été laxiste pour vérifier et de délivrer ses certificats SSL à leurs propriétaires.

Du coup, il y a un climat général de défiance envers les Autorités de Certification (entreprises qui vérifient et délivrent les certificats), cette suspicion étant menée par les éditeurs de navigateurs web. Google et Mozilla ont définitivement acté qu’ils ne font plus confiance à Symantec.

Face à ce climat de défiance envers les Autorités de Certification, CertEurope veut permettre aux entreprises et utilisateurs d’instaurer la confiance dans leurs échanges sur Internet.

Les certificats SSL/TLS de Symantec, Thawte, Geotrust et RapidSSL seront tous considérés comme non sécurisés, et les visiteurs verront s’afficher un message d’alerte en les visitant. D’après plusieurs chercheurs en sécurité, peu de sites ont mis à jour leur certificat à cette date, ce qui risque d’entraîner pas mal de problèmes… surtout que ces certificats sont utilisés sur plusieurs dizaines de sites Web officiels français !

Si vous êtes webmaster, n’hésitez surtout pas à réaliser un test sur Qualys SSL Labs pour voir en détail la qualité de votre SSL. Vous devez obtenir la note A avec cet outil.