Google et Mozilla ont récemment annoncé qu’ils allaient désapprouver de manière définitive les certificats SSL émis par Symantec. Cette décision fait suite aux problèmes rencontrés par Symantec par le passé avec l’émission de certains de ses certificats HTTPS.
Comment savoir si votre site est concerné et comment il sera affecté par ces désaveux ? À partir de quand et pourquoi les navigateurs de Google et Mozilla vont désapprouver les certificats de Symantec ? Nous vous proposons d’aborder ces points dans cet article.
Pourquoi les certificats SSL de Symantec vont être désapprouvés ?
Si vous n’êtes pas à jour dans le différend opposant Google à Symantec, voici un petit rappel des évènements.
Tout a commencé en 2015 quand Google attire l’attention de Symantec sur des problèmes rencontrés lors de l’émission de leurs certificats SSL.
Toutefois l’apogée de l’affaire date de 2016 lorsque Google découvre un lot de certificats de test émis par Symantec et en violation des exigences émises par le Forum CA / B. En effet des employés de Symantec émettaient des certificats non autorisés et permettant d’usurper l’identité de sites en HTTPS. Ces employés ont été renvoyés et Symantec assure alors que la manipulation ne concernait qu’un petit nombre de certificats émis pour seulement 3 domaines. Cependant Google a par la suite indiqué que ces certificats concernaient ses domaines google.com et www.google.com.
Google a alors fait valoir, à la lumière de ces évènements, qu’il fallait désormais se méfier de l’ensemble des méthodes de chiffrement de Symantec
La firme a annoncé le 7 mars 2018 qu’elle désapprouverait via son navigateur Chrome les sites concernés par des certificats émanant de Symantec et de ses filiales (GeoTrust, RapidSSL, Thawte et VeriSign) datant d’avant le 1er juin 2016 dans un premier temps, puis dans leur ensemble dans un second temps. Mozilla appliquera les mêmes restrictions sur son navigateur Firefox.
À quoi ressemble un site dont le certificat est désapprouvé ?
Si le certificat HTTPS de votre site est émis par Symantec ou l’une de ses filiales votre site apparaitra de la sorte sur Google Chrome :
Et de cette manière sur Firefox :
Les répercussions sur le trafic de votre site seraient évidemment désastreuses puisque ce type de message ne poussera pas les utilisateurs de Firefox et de Chrome à passer outre l’avertissement pour visiter votre site.
Comment savoir si votre site est concerné par un certificat désapprouvé ?
Pour savoir si le certificat HTTPS de votre site est émis par Symantec il vous suffit de vous rendre sur votre site avec Google Chrome, d’ouvrir le DevTool du navigateur (cmd+alt+i sur Mac, F12 sur PC) et de cliquer sur l’onglet « Console ».
Si vous voyez apparaitre ce message d’avertissement vous êtes concerné par le problème :
Le message d’avertissement (en jaune sur l’image) nous apprend que le certificat SSL sera désapprouvé sur la version 70 (M70) de Google Chrome.
Quelles sont les échéances avant que votre site soit bloqué à cause du certificat HTTPS ?
Google et Mozilla désapprouveront les certificats SSL en plusieurs étapes et versions de leur navigateur.
Pour Chrome, la version 66 désapprouvera les certificats d’avant le 1er juin 2016. Sa sortie est prévue pour le 17 avril 2018.
La version 70 est prévue pour le 16 octobre 2018 et prévoit de bloquer tous les certificats de Symantec.
Pour Firefox c’est la version 60 prévue pour mai 2018 qui désapprouvera les certificats d’avant le 1er juin 2016, et la version 63 prévue pour Octobre 2018 qui bloquera tous les autres certificats Symantec.
Il vous reste donc un peu plus de 6 mois pour modifier votre certificat SSL si vous êtes concerné par le problème.
Testez dès maintenant si vous êtes concerné !
Utilisez notre vérificateur de certificat SSL pour tester vos certificats Symantec, Thawte, GeoTrust et RapidSSL !
