Discussion :

[Francky]

Chrome va avertir les utilisateurs s'ils accèdent à des sites HTTPS utilisant des certificats SSL douteux
en vertu de la Certificate Transparency

Google Chrome est le premier navigateur à implémenter la politique du Certificate Transparency (CT). Devon O'Brien, ingénieur chez Google, a en effet annoncé lors d'une discussion sur Google Groups au début de l'année que « Chrome exigera que tous les certificats de serveur TLS émis après le 30 avril 2018 soient conformes à la politique de Chromium CT ».

Pour information, Certificate Transparency vise à renforcer les contrôles sur les certificats émis par des autorités de certification, notamment ceux utilisés par HTTPS. Initié par Google, ce mécanisme est désormais standardisé par l’IETF. L’objectif de cette technologie est de faciliter la détection de certificats frauduleux ou invalides par la journalisation, en lecture pour tous, des certificats émis par les autorités reconnues par les navigateurs. La CT exige que toutes les organisations qui fournissent les certificats SSL mettent à sa disposition les logs de tous les certificats qu’elles émettent chaque jour. Ainsi, ces logs seront rendus publics afin de permettre aux éditeurs de navigateurs et à tous ceux qui le souhaitent, de les consulter librement en cas de doute.

Avec l'implémentation de cette politique sur Chrome, lorsque vous accédez à un site HTTPS dont le certificat SSL n’est pas enregistré dans le log (journal) du Certificate Transparency, le navigateur vous affiche un avertissement. « Lorsque Chrome se connectera à un site desservant un certificat public non conforme à la politique Chromium CT, les utilisateurs commenceront à voir un interstitiel pleine page indiquant que leur connexion n'est pas compatible CT », explique O'Brien. « Les sous-ressources servies via des connexions HTTPS non compatibles CT ne pourront pas se charger et afficheront une erreur dans Chrome DevTools », ajoute-t-il. La bonne nouvelle c’est que plusieurs autres fabricants de navigateurs ont accepté eux aussi d’utiliser cette stratégie du CT.

Le fait que le navigateur Chrome avertisse ses utilisateurs va sans doute donner beaucoup plus de crédibilité aux sites web accessibles via le protocole HTTPS. Dès que Chrome a envisagé d’implémenter cette nouvelle stratégie l’année dernière, plusieurs autorités de certification ont commencé à publier leurs logs CT alors qu’avant ces logs étaient strictement confidentiels et mis à la disposition des éditeurs de navigateurs pour d’éventuelles enquêtes.

Chrome a implémenté cette nouvelle stratégie dans ses navigateurs pour les plateformes telles que Windows, macOS, Linux et ChromeOS. De ce fait, désormais, lorsqu’un certificat SSL non enregistré dans un journal CT est émis, Chrome affichera une erreur. Par contre, les anciens certificats émis qui n’avaient pas été enregistrés au CT continueront de fonctionner, car cette nouvelle politique du CT n’est pas rétroactive. Par ailleurs, les ingénieurs de Google ont ajouté un flag au navigateur qui permettra aux utilisateurs de désactiver la vérification des certificats dans les logs CT.

Source : Google Groups

Et vous ?

Que pensez-vous de cette nouvelle mesure que prend Google ?

Voir aussi :

Chrome : Google a décidé de marquer tous les sites HTTP comme non sécurisés, la mesure prendra effet au mois de juillet

Google va révoquer les certificats issus par WoSign/StartCom dès Chrome 61 et suggère à ceux qui en disposent de se tourner vers d'autres autorités

Symantec à nouveau dans le collimateur de Google sur la question des certificats SSL, la filiale d'Alphabet a décidé de prendre des mesures

[Drowan]

Que pensez-vous de cette nouvelle mesure que prend Google ?

C'est cool, on fait des progrès en terme de sécurité et d'avertissement de l'utilisateur.
De plus si on veut prendre des risques l'option est désactivable, autrement dit on garde le controle sur le fonctionnement du navigateur.

Que du positif donc