La sortie de la version bêta de Chrome 66 le 15 mars 2018 marque le début de la fin de la confiance envers les marques d’autorités de certification racine SSL de Symantec.

En septembre 2017, l’équipe responsable de Chrome chez Google a communiqué son intention de ne plus faire confiance aux certificats Symantec. Le plan concerne tous les certificats SSL de Symantec, ainsi que les marques annexes GeoTrust, Thawte et RapidSSL, propriétés de Symantec depuis l’acquisition de la division sécurité de VeriSign par Symantec en 2010. Par le biais de toutes ces marques, la plate-forme SSL de Symantec sécurisait (et sécurise toujours) une grande partie des sites sécurisés dans le monde. L’impact de la méfiance fut sans précédent pour un secteur qui d’habitude réussit à gérer de nombreux incidents.

Les relations entre Google et Symantec étaient tendues depuis un certain temps. Ces dernières années, Symantec a multiplié les mauvaises impressions concernant ses processus de validation et d’émission, car ils ne respectaient pas les exigences de base du Forum CA/B (le régulateur du secteur de l’émission de certificats), mais également car ils n’ont pas réussi à résoudre les problèmes de manière appropriée. Ce n’est certainement pas ce que l’on pouvait attendre de l’entreprise, sachant que son domaine d’activité concerne les services de confiance. Après de nombreux pourparlers s’étant déroulés en public et en privé, Google a finalement annoncé sa perte totale de confiance envers l’infrastructure et les activités de Symantec. Le sort du géant de la sécurité venait d’être déterminé : à partir d’octobre 2018, toutes les autorités de certification racine de Symantec utilisées pour émettre des certificats SSL de confiance ne seront plus fiables.

La bonne nouvelle pour les propriétaires de sites Web dépendant des certificats Symantec est que le plan de méfiance ne consiste pas en une révocation immédiate de la confiance envers Symantec, comme ce fut le cas en 2011 à la suite du scandale DigiNotar. Le plan devait être mis en œuvre progressivement, avec quatre grandes étapes qui laissaient (en théorie) suffisamment de temps à l’autorité de certification pour avertir ses clients et les aider à remplacer ou à faire migrer leurs certificats.

Remarque : Nous nous sommes concentrés sur les étapes mises en oeuvre par Chrome en raison de sa grande part de marché, mais il est important de noter que Mozilla, avec son navigateur Firefox, suit un programme de méfiance similaire. Chrome sera le premier navigateur à se méfier des certificats Symantec. Tant que les propriétaires de sites web respecteront les directives de Chrome, ils n’auront aucun problème en ce qui concerne Firefox.

Découvrez DigiCert

Peu après l’annonce des plans de méfiance, plutôt que de régler ses problèmes d’infrastructure et d’exploitation, Symantec a pris la décision compréhensible de vendre sa division spécialisée dans la sécurité web. Voici DigiCert, une autorité de certification basée dans l’Utah qui a développé une activité importante dans le domaine des certificats SSL, principalement grâce à sa réputation de fournisseur de haute fiabilité offrant un excellent support client. DigiCert a un parcours exemplaire dans le secteur. L’entreprise dirige le Forum CA/B et gère son activité d’autorité de certification dans les règles de l’art depuis de nombreuses années. Depuis le rachat, la société s’est occupée de la migration de ses nouveaux clients vers l’infrastructure PKI/SSL de DigiCert, ce qui signifie devoir réémettre tous les certificats SSL Symantec existants en utilisant les systèmes de DigiCert et l’autorité de certification racine de DigiCert intégrée dans les navigateurs.

Remplacez vos certificats Symantec dès maintenant – il est encore temps

Dans l’ensemble, Symantec et DigiCert ont réussi à communiquer les étapes importantes à leurs clients. Pour les sites possédant un nombre limité de certificats SSL, remplacer vos certificats est sans doute un inconvénient, mais les frais généraux liés à cette opération sont raisonnables. Il ne faut pas oublier les entreprises de plus grande taille possédant de nombreux certificats répartis sur plusieurs divisions. Elles représentent sans doute la majorité des clients des services orientés entreprise de Symantec. Pour ces dernières, s’agit d’un véritable casse-tête. Conscients de ce problème, DigiCert et Symantec ont rendu accessible aux administrateurs de sites web un outil simple pour vérifier le niveau de confiance de leurs domaines et de tout certificat SSL installé.

Si vous n’avez pas encore remplacé vos certificats Symantec, GeoTrust, Thawte ou RapidSSL et que vous n’arrivez pas à utiliser l’outil de vérification ou à déterminer la situation relative à SSL de votre entreprise, vous devriez immédiatement contacter votre fournisseur. Dans la précipitation du remplacement des certificats, en particulier si vous avez acheté des certificats via un revendeur, vous pourriez être incité par ce dernier à utiliser ses outils en ligne afin de donner l’impression que la génération des clés est plus facile. Mais comme nous l’avons vu de manière impressionnante ces dernières semaines, sur le long terme, ces solutions mal conçues nuisent aux principes de sécurité de base du PKI web. Au final, vous devrez réémettre vos certificats (ou pire, vous pourrez être victime d’une usurpation d’identité).

Même si la plupart des visiteurs ne seront pas affectés avant la sortie de la version stable le 17 avril 2018, cette date n’est pas si lointaine, surtout si votre infrastructure dépend de plusieurs certificats et est répartie sur plusieurs applications. Il est donc plus judicieux d’agir maintenant que de réagir lorsque votre site Web commencera à présenter des avertissements de sécurité.

La complexité supplémentaire de l’utilisation de logiciels et services tiers sur votre site

Les sites web modernes sont conçus grâce au regroupement de plusieurs sources différentes : analyses des données, retours d’information, aide en direct, etc… Cela ajoute une autre couche de complexité, étant donné que vous ne contrôlez pas les certificats détenus par les fournisseurs de services que vous avez ajoutés à votre site Web. En premier lieu, vous devez vérifier que votre fournisseur et votre site web communiquent en utilisant le SSL. Il faut donc vérifier dans le code HTML de votre page que la connexion se fait par https (faire ctrl-f puis chercher “http://” est le moyen le plus simple). Ensuite, vous devez vérifier que les certificats de votre fournisseur de services ne risquent pas de ne plus être considérés comme de confiance dans les prochains jours. N’importe quel fournisseur de services digne de ce nom devrait être au courant de ce problème, mais vous savez quelle est la réalité des choses.

L’exemple ci-dessous montre le code de la page web de Google tag manager en train de se connecter en utilisant SSL. Il s’agit généralement d’une très bonne chose, sauf si le certificat SSL de googletagmanager.com est sur le point de faire l’objet d’une méfiance (ce qui n’est pas le cas).

<!-- Google Tag Manager -->
<script>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->

Il est temps de dire adieu aux autorités de certification racine de GeoTrust.

En guise de conclusion et selon notre avis, il est assez triste de voir la méfiance à l’égard des marques GeoTrust et RapidSSL devenir une réalité. J’ai co-fondé GeoTrust Europe en 2003. Les cadres et le personnel chargé des opérations étaient parmi les personnes les plus intelligentes du secteur. Certes, leur carrière a pris un autre tournant depuis le rachat par VeriSign, puis par Symantec, mais il reste dommage d’être spectateur du destin malheureux de cette autorité de certification qui fut innovante. Je me demande si la marque va connaître une nouvelle vie sous la direction de DigiCert.