IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Google Chrome Discussion :

Chrome va avertir les utilisateurs s'ils accèdent à des sites HTTPS utilisant des certificats SSL douteux


Sujet :

Google Chrome

  1. #1
    Membre émérite

    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2018
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2018
    Messages : 27
    Points : 2 349
    Points
    2 349
    Par défaut Chrome va avertir les utilisateurs s'ils accèdent à des sites HTTPS utilisant des certificats SSL douteux
    Chrome va avertir les utilisateurs s'ils accèdent à des sites HTTPS utilisant des certificats SSL douteux
    en vertu de la Certificate Transparency

    Google Chrome est le premier navigateur à implémenter la politique du Certificate Transparency (CT). Devon O'Brien, ingénieur chez Google, a en effet annoncé lors d'une discussion sur Google Groups au début de l'année que « Chrome exigera que tous les certificats de serveur TLS émis après le 30 avril 2018 soient conformes à la politique de Chromium CT ».

    Pour information, Certificate Transparency vise à renforcer les contrôles sur les certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF. L’objectif de cette technologie est de faciliter la détection de certificats frauduleux ou invalides par la journalisation, en lecture pour tous, des certificats émis par les autorités reconnues par les navigateurs. La CT exige que toutes les organisations qui fournissent les certificats SSL mettent à sa disposition les logs de tous les certificats qu’elles émettent chaque jour. Ainsi, ces logs seront rendus publics afin de permettre aux éditeurs de navigateurs et à tous ceux qui le souhaitent, de les consulter librement en cas de doute.

    Avec l'implémentation de cette politique sur Chrome, lorsque vous accédez à un site HTTPS dont le certificat SSL n’est pas enregistré dans le log (journal) du Certificate Transparency, le navigateur vous affiche un avertissement. « Lorsque Chrome se connectera à un site desservant un certificat public non conforme à la politique Chromium CT, les utilisateurs commenceront à voir un interstitiel pleine page indiquant que leur connexion n'est pas compatible CT », explique O'Brien. « Les sous-ressources servies via des connexions HTTPS non compatibles CT ne pourront pas se charger et afficheront une erreur dans Chrome DevTools », ajoute-t-il. La bonne nouvelle c’est que plusieurs autres fabricants de navigateurs ont accepté eux aussi d’utiliser cette stratégie du CT.

    Nom : https_website.png
Affichages : 4908
Taille : 14,6 Ko

    Le fait que le navigateur Chrome avertisse ses utilisateurs va sans doute donner beaucoup plus de crédibilité aux sites web accessibles via le protocole HTTPS. Dès que Chrome a envisagé d’implémenter cette nouvelle stratégie l’année dernière, plusieurs autorités de certification ont commencé à publier leurs logs CT alors qu’avant ces logs étaient strictement confidentiels et mis à la disposition des éditeurs de navigateurs pour d’éventuelles enquêtes.

    Chrome a implémenté cette nouvelle stratégie dans ses navigateurs pour les plateformes telles que Windows, macOS, Linux et ChromeOS. De ce fait, désormais, lorsqu’un certificat SSL non enregistré dans un journal CT est émis, Chrome affichera une erreur. Par contre, les anciens certificats émis qui n’avaient pas été enregistrés au CT continueront de fonctionner, car cette nouvelle politique du CT n’est pas rétroactive. Par ailleurs, les ingénieurs de Google ont ajouté un flag au navigateur qui permettra aux utilisateurs de désactiver la vérification des certificats dans les logs CT.

    Source : Google Groups

    Et vous ?

    Que pensez-vous de cette nouvelle mesure que prend Google ?

    Voir aussi :

    Chrome : Google a décidé de marquer tous les sites HTTP comme non sécurisés, la mesure prendra effet au mois de juillet

    Google va révoquer les certificats issus par WoSign/StartCom dès Chrome 61 et suggère à ceux qui en disposent de se tourner vers d'autres autorités

    Symantec à nouveau dans le collimateur de Google sur la question des certificats SSL, la filiale d'Alphabet a décidé de prendre des mesures

  2. #2
    Membre éprouvé Avatar de Drowan
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juin 2014
    Messages
    460
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Juin 2014
    Messages : 460
    Points : 1 014
    Points
    1 014
    Par défaut
    Que pensez-vous de cette nouvelle mesure que prend Google ?
    C'est cool, on fait des progrès en terme de sécurité et d'avertissement de l'utilisateur.
    De plus si on veut prendre des risques l'option est désactivable, autrement dit on garde le controle sur le fonctionnement du navigateur.

    Que du positif donc

Discussions similaires

  1. Réponses: 3
    Dernier message: 28/02/2020, 10h22
  2. Un certificat SSL frauduleux pour les domaines de Google identifié
    Par Gordon Fowler dans le forum Sécurité
    Réponses: 17
    Dernier message: 22/09/2011, 14h35
  3. Les certificats SSL de DigiNotar indignes de confiance
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 6
    Dernier message: 07/09/2011, 19h32
  4. Besoin de precisions sur les certificats SSL
    Par skydevil dans le forum Sécurité
    Réponses: 1
    Dernier message: 20/08/2010, 13h42
  5. Réponses: 2
    Dernier message: 11/06/2009, 13h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo