Pour gérer vos consentements :

Google veut rendre obligatoire Certificate Transparency en 2017

Les certificats de sites Web devront être conformes au standard dit Certificate Transparency (CT), à partir d’octobre 2017, pour être considérés comme sûrs par Chrome.  Google a fait cette annonce lors d’une réunion récente du consortium CA/Browser Forum, qui réunit des autorités de certification (CA) et des éditeurs de navigateurs Web, entre autres.

L’initiative Certificate Transparency (CT) soumet les autorités de certification à un système d’audit communautaire de certificats TLS/SSL. Lancé en 2013 par Google, ce framework Open Source est devenu un standard ouvert de l’IETF (Internet Engineering Task Force). En l’imposant sur Chrome, Google cherche à réduire le nombre de certificats compromis et exploités par des pirates. Ces derniers profitant des failles du système (voir le différend qui a opposé Google à Symantec l’an dernier) pour lancer des attaques de type « man-in-the-middle »  ou usurpation d’identité (spoofing).

Google impose Certificate Transparency

Certificate Transparency « a déjà profondément modifié la façon dont les navigateurs, les propriétaires de sites et d’autres parties prenantes » sont en mesure de détecter, identifier et signaler les faux certificats, a déclaré dans un forum de groupes Ryan Sleevi, un ingénieur de Google. En rendant Certificate Transparency obligatoire sur Chrome (navigateur le plus utilisé au monde avec une part de marché supérieure à 50%), Google entend influencer l’ensemble du marché.

« L’écosystème autour de Certificate Transparency a suffisamment progressé », a commenté l’ingénieur. Une année pour se mettre en conformité est donc « un objectif réalisable et réaliste », selon lui.

À partir d’octobre 2017, lorsqu’un internaute visitera un site qui n’utilise pas le protocole CT sur Chrome, une alerte indiquera que le domaine n’est « pas fiable ». Pour éviter la chute de trafic, Google invite les parties prenantes à transmettre leurs observations au groupe de travail dédié de l’IETF.

Lire aussi :

Wikipedia, Dropbox et autres bloqués par une erreur de certificats

Google Chrome poursuit sa croisade contre le Web non sécurisé

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

5 heures ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

5 heures ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

8 heures ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

10 heures ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

11 heures ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

1 jour ago