Discussion :

[Patrick Ruiz]

Les versions 70 à 73 de Google Chrome ne prendront pas les certificats HTTPS Symantec en charge :
Des milliers de sites mis à mal

L’annonce est de la firme de Mountain View au travers de l’une des pages de support dédiées à Google Chrome. Le navigateur ne prendra plus en charge les certificats HTTPS émis par Symantec à partir de la version 70. L’accès (avec Google Chrome) à un site qui s’appuie sur un artifice de sécurisation fourni par Symantec entraînera l’apparition du message d’erreur « Not Secure. »

Il ne s’agit pas d’une mesure définitive. En effet, plus loin dans sa note d’information, Google précise que la mesure court jusqu’à la version 73 de son navigateur. Il y a moins d’un mois que l’entreprise a publié la bêta de Chrome 70. La version stable pour sa part est attendue à mi-parcours de ce mois et bloquera tous les certificats émis sous des marques Symantec. On parle de GeoTrust, Equifax, Thawte, RapidSSL, Verisign, ainsi que de ceux émis par les revendeurs affiliés à Symantec.

L’annonce de Google fait suite à des frictions avec l’autorité de certification adossée à la firme de sécurité. En 2015, Stephan Somogyi – ingénieur Google affecté au projet Certificate Transparency – a découvert que Symantec a délivré une série de précertificats EV sans l’accord de Google. Le géant de la recherche avait dû mettre ces derniers sur liste noire, puis les révoquer. L’année 2017 s’était quant à elle s’était ouverte sur des accusations de la firme de Mountain View dirigées contre trois autorités de certification liées à Symantec. D’après Google, ces dernières ont procédé à l’émission d’une centaine de certificats TLS invalides. De façon brossée, cela fait un moment que Google dit ne « plus avoir confiance dans les politiques d’émission et les pratiques de Symantec en matière de gestion des certificats. »

D’après les développements de Scott Helme, un bon millier de sites Web est affecté. Sur son blog, le chercheur en sécurité dresse une liste de 1139 sites du top 1 million de l’index Alexa. Quelle alternative (pour tous ces éditeurs de sites laissés aux abois) d’ici à la sortie de Chrome 73 ? Let’s Encrypt. Les certificats de cette autorité bénéficient de la confiance des principaux éditeurs de navigateurs. À date, l’organisation à but non lucratif a délivré (gratuitement) un minimum de 380 millions de certificats.

Sources : Support Google, blog Helme

Et vous ?

Qu’en pensez-vous ?

Vos sites Web s’appuient-ils sur les certificats Symantec ? Si oui, quelles dispositions avez-vous prises ?


Voir aussi :

Symantec se sépare de certains de ses employés qui ont émis des certificats SSL Google de façon inappropriée

Symantec à nouveau dans le collimateur de Google sur la question des certificats SSL, la filiale d'Alphabet a décidé de prendre des mesures

La plupart des certificats de signature de code utilisés par des malwares n'auraient pas été dérobés à des entreprises, mais simplement vendus

[Uther]

Pour info, Mozilla a déjà lancé la même procédure dans Firefox depuis septembre.

[clementmarcotte]

Google qui prétend donner des leçons sur la sécurité

https://ici.radio-canada.ca/nouvelle...ermeture-fuite

[Aiekick]

les browsers font la loi. on marche pas un peu sur la tète ?

[Uther]

Google qui prétend donner des leçons sur la sécurité

https://ici.radio-canada.ca/nouvelle...ermeture-fuite

La c'est quand même différent d'une simple faille de sécurité. La fonction première des autorités de certification, c'est d'être un tiers de confiance. C'est sur la crédibilité que l'on leur porte que se base le mécanisme de connexion sécurisé. Si il se sont permis de valider tout et n'importe quoi, c'est normal qu'ils soient retirés.

les browsers font la loi. on marche pas un peu sur la tète ?

Non c'est le fonctionnement normal. Les tiers de confiance ne sont pas une obligation légale. C'est juste un service qui est proposé par une société qui engage sa réputation. Si le service est douteux, c'est normal qu'il soit retiré.
Un navigateur qui accepterait que les connexion sécurisées puissent être usurpées sans rien dire, risquerait lui aussi sa crédibilité.

[vanquish]

Mon revendeur de certificat m'a prévenu il y a des mois et nous sommes passé de Thawte à Digicert

Quant aux certificats Let's Encrypt ce n'est guère une bonne solution : il ne sont valable que 90 jours.

En fait ils posent même un vrai soucis de sécurité car il n'y a aucune vérification de l'identité du demandeur.
Il est donc très facile de faire un faux sites avec un beau cadena vert, sur lesquels on va attirer des utilisateurs par phising.

En voyant le candena beaucoup d'utilisateur vont y aller en toute confiance.
Seul un utilisateur averti, en allant dans le détails du nom de domaine et du certificat verra qu'il s'agit d'un faux site.

cf : https://www.developpez.com/actu/1267...space-d-un-an/

[Uther]

Le problème n'est pas spécifique à Let's encrypt. Tous les certificats de type DV ont toujours pu être utilisé pour le phising et ce n'est pas leur faible coût qui suffisait à dissuader les arnaqueurs. Mais comme gratuit c'est toujours mieux que pas cher, en effet, Let's encrypt est devenu leur premier choix.

Le vrai problème c'est que le cadenas seul n'a jamais garanti l'authenticité du site que l'on visite, juste que la connexion était chiffrée. Mais les informaticiens du dimanche ont tellement propagé cette fausse information auprès du grand public que c'est trop tard pour faire comprendre que c'est faux. Du coup, il est grand temps que les navigateurs arrêtent d'afficher le cadenas vert et gardent seulement le cadenas rouge barré pour les connexions pas ou mal sécurisées. C'est prévu par les principaux navigateurs, mais malheureusement ça va devoir se faire sur la durée pour ne pas trop froisser les habitudes des utilisateurs.

[grunk]

Mon revendeur de certificat m'a prévenu il y a des mois et nous sommes passé de Thawte à Digicert

Quant aux certificats Let's Encrypt ce n'est guère une bonne solution : il ne sont valable que 90 jours.

Tout est fournit pour du renouvellement automatique. J'en ai qui tourne depuis plus d'un an sans avoir jamais eu besoin de m'en occuper.

[Médinoc]

Si je me souviens bien, ce qu'un certificat SSL assure, c'est qu'on parle bel et bien à l'adresse affichée (via une vérification que l'adresse e-mail qui demande le certificat appartient à quelqu'un qui a le contrôle du site à l'adresse donnée). Mais ça n'assure en aucun cas que paypal.trustmeimsecure.com appartient à Paypal (du moins, sans les niveaux supplémentaires optionels de sécurité du certificat).

Et ensuite, il faut savoir comment la première vérification est faite. Que se passe-t-il si quelqu'un fait un DNS poisoning avant d'envoyer une demande de certificat? L'autorité s'y laissera-t-elle prendre? Surtout pour une autorité gratuite comme Let's Encrypt...

[Uther]

C'est un peu plus compliqué que ça.

Il y a 3 types de certificats:

• Les certificats DV (Domain Validation)
  Comme leur nom l'indique, ils certifient seulement que le domaine n'a pas pu être usurpé.
  Donc quand on est connecté a un site web, on a la garantie que c'est bien le propriétaire du domaine que l'on visite qui envoie les pages que l'on consulte. Les intermédiaires ne connaissent pas le contenu des pages et ne peuvent le modifier.
  Les certificats "Let's encrypt" sont des certificats de type DV.
  
• Les certificats OV (Organisation Validation)
  En plus de la validation du domaine, ils valident aussi le nom de la société demandeuse qui devra fournir au tiers de confiance quelques informations légales. Cela fournit un peu plus de garanties que les certificats DV, mais le contrôle reste assez sommaire.
  
• Les certificats EV (Extended Validation)
  Leur principe est similaire aux certificats OV : la société propriétaire du certificat est validée par celui ci. Mais ils imposent une procédure de contrôle de l'identité légale du demandeur bien plus poussée. C'est en général une plutôt bonne sécurité, ce qu'il fait que en plus du cadenas, le nom de la société est affiché en vert dans la barre d'adresse du navigateur.

Évidement plus le certificat nécessite de contrôles, plus il est cher. Et si Symantec a été banni, c'est qu'il s'est avéré que ses procédures de contrôles ne répondaient pas aux standard attendu.