Le torchon brûle encore entre Google et Symantec sur les certificats

Google a des doutes sur la sécurité des certificats émis par Symantec ces dernières années. Il a décidé de prendre des mesures.

C’est une histoire qui se répète. Google a du mal avec des autorités de certification appartenant à Symantec. En 2015 déjà, La firme de Mountain View avait monté le ton en bannissant des certificats de Symantec pour Chrome et Android. Plus récemment, en janvier 2017, Google avait pointé du doigt le spécialiste de la sécurité et plus exactement 3 autorités de certification liées à Symantec d’avoir émis 108 certificats TLS invalides.

Aujourd’hui, on apprend sur un forum par l’intermédiaire de Ryan Sleevi, développeur sur Chrome chez Google, que le navigateur va arrêter de reconnaître le statut de validité étendue à l’ensemble des certificats émis par les autorités de certification de Symantec pendant au moins 1 an. Cette évolution prend effet immédiatement.

Une succession d’erreurs et de fautes de la part de Symantec

« Depuis le 19 janvier, l’équipe de Google Chrome enquête sur des dysfonctionnements de la part de Symantec Corporation pour valider correctement les certificats. Au cours de cette enquête, les réponses fournies par Symantec ont montré un nombre croissant d’erreurs sur chaque question posée par l’équipe Google Chrome », précise l’ingénieur. Il ajoute qu’un ensemble de 127 certificats avait bénéficié d’une extension de validité et a permis l’émission d’au moins 30 000 certificats pendant plusieurs années. Mais avec les évènements du début d’année, « nous n’avons plus confiance dans les politiques d’émissions et des pratiques de Symantec concernant les certificats au cours de dernières années », avoue Ryan Sleevi.

Ce dernier souligne que les certificats TLS émis par Symantec représentent 30% des certificats sur Internet. Une prise de position qui n’est pas sans conséquence pour les Internautes car ils ne pourront purement et simplement pas avoir accès à certains sites. Google est en train de modifier sa politique sur Chrome pour pousser vers la sortie des certificats obsolètes ou invalides. Chrome 59 va limiter la date d’expiration à 33 mois à leurs émissions, dans Chrome 64 ce délai sera de 9 mois.

A lire aussi :

Chiffrement : Symantec a émis des certificats HTTPS illégitimes

HTTPS : Google bannit les certificats Symantec de Chrome et Android

crédit photo  © Eugene Sergeev – shutterstock