Au mois de juillet 2017, Google annonçait son intention de ne plus faire confiance aux certificats émis par Symantec. Cette décision drastique était le résultat d’un long débat autour de la fiabilité de l’autorité de certification de Symantec : la société a notamment multiplié les partenariats avec des acteurs tiers et les a laissés émettre des certificats ne respectant pas l’état de l’art en matière de sécurité et de transparence.

 

Cette déclaration avait donné lieu à un véritable bras de fer entre Google et Symantec : Google en avait profité pour mettre en avant son initiative Certificate Transparency tandis que Symantec avait été contraint d’abandonner son activité d’autorité de certification. Mais les principaux navigateurs avaient suivi Google et ont annoncé leur intention de ne plus faire confiance aux certificats émis par Symantec et ses partenaires (Symantec, Thawte, Verisign, RapidSSL et GeoTrust.)

Conformément aux annonces, Google annonce donc que la version 70 de Chrome ne fera plus confiance aux certificats émis par Symantec et ses partenaires. La version 66 avait déjà bloqué les certificats antérieurs au mois de juin 2016 et cette version 70 étend la mesure à l’ensemble des certificats basés sur le certificat racine de Symantec. Ce changement signifiera que les sites qui utilisent les certificats en question ne seront plus accessibles aux utilisateurs de Chrome à partir de la version 70, prévue pour le 16 octobre. Le navigateur affichera à la place un avertissement indiquant que la page en question n’est pas sécurisée et une manipulation sera nécessaire pour permettre à l’utilisateur d’afficher la page.

Mais si Chrome a annoncé ses plans de longue date, les sites web ne se sont pas forcement tous adapté à cette nouvelle donne. Comme le relate TechCrunch, un chercheur en sécurité a procédé à un rapide recensement et a comptabilisé un peu plus de 1100 sites utilisant encore l’un des certificats affectés par la décision de Google. Ces sites sont parmi la liste des sites les plus consultés sur le web.

Firefox joue la montre

C’est notamment cette situation qui pousse Firefox à adopter une attitude légèrement différente : dans un post de blog publié mercredi, les équipes Mozilla expliquent que la réprobation des certificats en question était initialement prévue pour être mis en place avec la version 63 de son navigateur, mais que celle-ci sera finalement repoussée afin de laisser le temps aux administrateurs des sites web de se mettre à jour en matière de certificats. Mozilla estime le nombre de sites utilisant les certificats Symantec à 1% du web mondial, et explique que « passer cette mesure de Firefox 63 Nightly à la version Beta aurait un impact important sur les utilisateurs. » Firefox opte donc pour un court délai et annonce son intention de repousser ce changement à la version 64 de Firefox, qui sera publiée dans le mois d’octobre.

Firefox et Chrome ne sont pas les seuls navigateurs à prendre des mesures à l’égard des certificats Symantec : Edge a également communiqué sur ce sujet au début du mois d’octobre. Dans un post, les responsables du navigateur Edge expliquent qu’ils cesseront progressivement de faire confiance aux certificats Symantec en respectant le calendrier publié par Digicert, qui programme l’expiration progressive des certificats de fin septembre 2018 à mars 2019. Safari, le navigateur d’Apple, a également communiqué en juin afin d’expliquer que son navigateur adopterait une approche progressive similaire, qui a commencé depuis le mois de juillet 2018.

Les sites qui utilisent l’un de ces certificats ont donc tout intérêt à se mettre à jour s’ils ne veulent pas se faire blacklister par les principaux navigateurs. L’affaire a notamment conduit Symantec a céder son activité d’autorité de certificat, qui est aujourd’hui reprise par Digicert. Ces derniers offrent de remplacer gratuitement les certificats affectés par de nouveaux certificats conformes : Symantec détaille la procédure de renouvellement sur une page dédiée.