C’est une histoire qui se répète. Google a du mal avec des autorités de certification appartenant à Symantec. En 2015 déjà, La firme de Mountain View avait monté le ton en bannissant des certificats de Symantec pour Chrome et Android. Plus récemment, en janvier 2017, Google avait pointé du doigt le spécialiste de la sécurité et plus exactement 3 autorités de certification liées à Symantec d’avoir émis 108 certificats TLS invalides.
Aujourd’hui, on apprend sur un forum par l’intermédiaire de Ryan Sleevi, développeur sur Chrome chez Google, que le navigateur va arrêter de reconnaître le statut de validité étendue à l’ensemble des certificats émis par les autorités de certification de Symantec pendant au moins 1 an. Cette évolution prend effet immédiatement.
« Depuis le 19 janvier, l’équipe de Google Chrome enquête sur des dysfonctionnements de la part de Symantec Corporation pour valider correctement les certificats. Au cours de cette enquête, les réponses fournies par Symantec ont montré un nombre croissant d’erreurs sur chaque question posée par l’équipe Google Chrome », précise l’ingénieur. Il ajoute qu’un ensemble de 127 certificats avait bénéficié d’une extension de validité et a permis l’émission d’au moins 30 000 certificats pendant plusieurs années. Mais avec les évènements du début d’année, « nous n’avons plus confiance dans les politiques d’émissions et des pratiques de Symantec concernant les certificats au cours de dernières années », avoue Ryan Sleevi.
Ce dernier souligne que les certificats TLS émis par Symantec représentent 30% des certificats sur Internet. Une prise de position qui n’est pas sans conséquence pour les Internautes car ils ne pourront purement et simplement pas avoir accès à certains sites. Google est en train de modifier sa politique sur Chrome pour pousser vers la sortie des certificats obsolètes ou invalides. Chrome 59 va limiter la date d’expiration à 33 mois à leurs émissions, dans Chrome 64 ce délai sera de 9 mois.
A lire aussi :
Chiffrement : Symantec a émis des certificats HTTPS illégitimes
HTTPS : Google bannit les certificats Symantec de Chrome et Android
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.