Chrome Root Program : Google veut prendre en main la certification HTTPS

Pourquoi réinventer la roue ? Certains se posent la question à propos du Chrome Root Program.

Dans le cadre de cette initiative, Google entend doter son navigateur de son propre magasin de certificats racines. Et ainsi suivre le modèle de Mozilla avec Firefox.

Depuis son lancement en 2009, Chrome exploite les magasins de certificats des différents systèmes d’exploitation. En l’occurrence, le Microsoft Trusted Root Program sur Windows, l’Apple Root Certificate Program sur iOS et Mac OS, etc. Cela lui permet de valider les connexions HTTPS (si le certificat TLS a été généré par un certificat racine approuvé).

Alors pourquoi changer ? Le Chrome Root Program, affirme Google, garantira une même expérience à travers toutes les plates-formes. Sauf iOS, où Apple bloque la démarche.
Mozilla avance le même argument pour son magasin de certificats, dans lequel le client mail Thunderbird puise aussi. La fondation souligne aussi que les éditeurs d’OS prennent parfois, pour leurs clients professionnels, des décisions qui « ne sont pas dans l’intérêt des individus ».

Google a établi une liste préliminaire d’autorités de certification approuvées. Elle se fonde entre autres, explique-t-il, sur la Common CA Certificate Database… que supervise Mozilla. Pour les autres autorités, il faudra faire une demande à chrome-root-authority-program@google.com. La priorité sera donnée notamment à celles :

• Qui bénéficient d’un haut niveau de confiance, qui proposent des certificats créés dans les 5 dernières années et qui ont ont passé tous leurs audits annuels
• Dont les certificats racines ne servent qu’à émettre des certificats TLS
• Dont les procédures ont fait l’objet d’une discussion publique « importante et reconnue »

Photo d’illustration © Maksim Kabakou – shutterstock.com