Chrome 70 : date d'éviction fixée au 16 Octobre prochain pour les certificats Symantec ! (ils ne passeront plus)

Depuis Avril dernier, la chose était dite sans détours par Google : les certificats Symantec ne seraient plus pris en charge, progressivement. Une décision qui faisait suite aux incidents sécuritaires multiples depuis 2015 qui avaient mis en lumière quelques 2 458 certificats liés à des noms de domaines non enregistrés ainsi que "164 certificats additionnels" parmi 76 noms de domaines. Au final, 23 certificats-tests se révélaient douteux et Google demandait des comptes sur le modus operandi de Symantec dans sa procédure de vérification et d'acceptation desdits certificats. Devant certains manquements ou faits, le géant Américain a dû trancher net en coupant court à sa relation avec l'éditeur de solutions sécuritaires ; précisément et concrètement : à partir du 16 Octobre 2018 !

 

 

En effet, alors que la bêta de Chrome, estampillée 70, était officiellement annoncée le 13 Septembre 2018, sa version finale stable sortira d'ici le 16 Octobre à venir, clôturant définitivement le dossier Symantec avec une conséquence directe : l'impossibilité d'identifier sécuritairement un site usitant ces certificats (et assimilés, important !) comme étant un site HTTPS fiable (vert). En clair : tout les sites payant les certificats Symantec pour obtenir le précieux cadenas vert seront bloqués à partir de la version 70 de Chrome ; et il en y a beaucoup !

 

(Source : SSL247.fr)

Dans une page-support, Google donne quelques exemples de branches sous-jacentes à Symantec telles que GeoTrust, Equifax, Thawte, RapidSSL, VeriSign... Les sites Web utilisant ces certificats auront un message sous Chrome et, ce, jusqu'à la version 73 (au minimum : à voir si cela ne perdura pas !). Côté utilisateur, vous l'aurez compris, si le site ne sera pas totalement bloqué, il recommandera fortement à l'utilisateur (à la manière de Firefox et sa grande fenêtre rouge qui incite à déguerpir avec une "connexion non sécurisée", entre-autres) que le site sur lequel il s'apprête à aller risque potentiellement de ne pas être sûr pour les donner qu'il "visitera" ou insérera (formulaire, création / connexion à un compte...). Inutile de dire que les sites utilisant les certificats sous Symantec ou assimilés sont nombreux, allant d'établissements bancaires réputés jusqu'à des sites de tourisme ou des sites commerciaux populaires ; bref, une jolie publicité en perspective pour Symantec, ses partenaires et ses clients...

Une punition étalée dans le temps, donc, puisque depuis 2016, certains sites s'étaient vu sanctionné de la sorte, pour ne pas avoir assez élaboré leurs techniques de vérification et d'authentification. Dans tout les cas, Google préconise de changer de fournisseur de certificats au plus vite ou de "contacter le webmaster  et de les remplacer aussi vite que possible". Rien d'autre... A suivre !

 

Source :