Dans sa croisade pour sécuriser le web, Google pousse depuis plusieurs années la généralisation du HTTPS. Malheureusement, tous les certificats SSL ne sont pas égaux aux yeux de Google. Nous vous prévenions en juillet 2017, Google est en conflit avec Symantec, leader du marché des certificats SSL. La menace était leur désaveu dans le navigateur Chrome, au titre de la préservation de la confidentialité des internautes, bloquant l’accès aux sites utilisant ces certificats.
Dans le détail, aussi bien Mozilla (créateur de Firefox) que Google ont identifié des failles dans les certificats émis par Symantec et ses filiales (représentant 30% des certificats SSL du web), ces certificats n’étaient pas conformes aux normes du secteur (définies par le Forum CAB). En enquêtant davantage, il a été révélé que Symantec a délégué l’émission de certificats SSL à des entreprises sans mettre en place les contrôles nécessaires, en étant pourtant informé de manquements de sécurité de leur part. Ceci étant le dernier incident d’une série de la part de Symantec, l’équipe Chrome chez Google en concertation avec les autorités de certification a mis en place un plan d’action visant à désavouer l’ensemble des certificats SSL émis par Symantec.
La roadmap du désaveu des certificats SSL Symantec (par Chrome et Firefox)
Côté webmasters, les dates butoirs sont connues depuis septembre 2017. Google a récemment publié un rappel de l’urgence d’agir, par un billet alarmiste à juste titre, « Immediate action needed by site operators« .
Google Chrome
- Première date : 17 avril 2018
Sortie de Chrome 66
Désaveu des certificats émis avant Juin 2016
- Seconde date : 16 octobre 2018
Sortie de Chrome 70
Désaveu de tous les certificats Symantec
Mozilla Firefox
Chrome mène le combat avec ses 50% de marché en France, mais Firefox (11%) suit le même plan d’action :
- Janvier 2018 : Firefox 58 – la console signale les certificats émis avant Juin 2016
- Mai 2018 : Firefox 60 – désaveu de ces certificats
- Octobre 2018 : Firefox 63 – désaveu de l’ensemble des certificats Symantec
Votre site est-il concerné ?
Les alertes sont bien présentes pour qui sait regarder :
Les Developer Tools de Google Chrome (accessibles par la touche F12), dans leur onglet Console, remontent un avertissement jaune de type
« The SSL certificate used to load resources from https://www.votre-site.fr will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. »
« Le certificat SSL utilisé pour charger les ressources de https://www.votre-site.fr sera désavoué dans Chrome 70. »
(explications : les ressources sont tous les éléments composant une page, dont le fichier HTML, M70 fait référence à la version de Chrome)
Si votre site relève ce message mentionnant M66 : vous avez jusqu’au 17 avril pour agir.
Pour être fixé : les prochaines versions de Google Chrome sont accessibles en version de test (beta) par Google Canary, qui a toujours quelques versions d’avance. Au 15/03, Chrome est en version 65 alors que Canary permet de tester la version 67 (donc 66 et ultérieures).
Attention donc aux certificats émis par Symantec et ses filiales Thawte, Verisign, GeoTrust ou RapidSSL.
16% du Top 100 français en danger
Une étude du Top 100 des sites français (selon l’indice de visibilité SearchMetrics) révèle que 16% des sites étaient concernés le 15 mars 2018. Leur certificat SSL les exposait au danger, mais la plupart ont su réagir dans les 6 mois. La même étude révèle par ailleurs que 46% des sites ne sont pas encore en HTTPS (un site en HTTP n’est évidemment pas concerné). Parmi ce Top 100, on retrouve : Amazon.fr, Cdiscount.com et Apple.com.
A quoi va ressembler un site au certificat désavoué ?
Si un certificat désavoué est en place sur un site en ligne, son accès est bloqué de cette manière :
Le site reste accessible, si on passe outre l’avertissement et que l’on autorise l’accès dans les Paramètres Avancés. Le résultat sera similaire dans Firefox.
Pour l’anecdote, Symantec a depuis revendu son activité d’autorité de certification (CA, Certificate Authority) à DigiCert, sans impact sur la roadmap de Google.
Dernier avertissement de Google en septembre
En principe, les autorités de certification ont prévenu chacun de leurs clients, afin qu’ils renouvellent leur Certificat SSL. Google prend tout de même le soin d’alerter les derniers réfractaires.
A travers la Search Console, Google avertit que « Le certificat SSL/TLS de votre site doit être remplacé« , prévenant qu’un avertissement de sécurité s’affichera en plein écran sur Chrome et que les autres navigateurs (Firefox et Safari) lui emboîteront le pas.
Deux étapes sont proposées :
- Remplacez le certificat SSL/TLS : vous-même ou à travers votre revendeur
- Validez votre correctif : la vérification par Chrome 70 Canary est la plus fiable
Olivier Perbet | @operbet