Les navigateurs Internet populaires Google Chrome et Mozilla Firefox ont récemment annoncé leur intention de se méfier de tous les certificats SSL émis par la société Symantec avant le 1er décembre 2017. Un certificat SSL est un élément important d’un site Web qui traite des informations personnelles sensibles. Les solutions de sécurité Web de Symantec et d’autres solutions PKI ont été reprises par la société DigiCert. Cette acquisition va permettre à DigiCert de mettre à jour et de moderniser plusieurs aspects du modèle Symantec. Cependant, Chrome et Mozilla ont entre-temps décidé de supprimer les certificats SSL de Symantec de la liste de confiance jusqu’à l’application définitive de ce ces mises à jour.
La décision de Chrome et de Mozilla de se méfier des certificats SSL est le résultat d’un petit nombre de divergences dans les certificats SSL qui ont été émis entre 2015 et aujourd’hui. La principale critique concernait la capacité de Symantec à garantir un processus d’authentification approprié pour les certificats SSL. Les débats entre Symantec et la communauté des navigateurs se sont étalés sur plusieurs mois et se sont conclus par deux points d’action principaux définis par Google Chrome et confirmés plus tard par Mozilla :
Peu après cette décision, Symantec a vendu son activité SSL à Digicert qui a commencé à émettre des certificats SSL entièrement conformes à partir de sa nouvelle infrastructure CA le 1er décembre 2017.
Bien que Chrome et Mozilla puissent agir dans l’intérêt de la sécurité de leurs clients, il existe un certain nombre de navigateurs, comme Internet Explorer, Safari et Opera, qui choisissent de ne pas afficher de messages d’avertissement aux visiteurs, car ils ne croient pas que la menace soit si grave que Chrome et Mozilla le prétendent. Indépendamment du risque de sécurité, de nombreux exploitants de sites Web peuvent voir leur site Web affecté par cette vague de méfiance.
Chrome émet des avertissements de sécurité à partir du 16 avril 2018 à destination des utilisateurs de Chrome 66 (et versions plus anciennes), lorsqu’ils tentent d’accéder à un site Web crypté par Symantec SSL. Cet avertissement apparait sur tous les certificats SSL Symantec émis avant le 1er juin 2016. À partir d’octobre 2018, les utilisateurs de Chrome 70 (et versions plus récentes) recevront aussi le message sur tous les sites qui contiennent des certificats Symantec SSL émis avant le 1er décembre 2017. Le message d’avertissement indique simplement que l’échange de données peut être dangereux. Les visiteurs peuvent accepter l’avertissement et continuer à accéder au site sans entrave : les fonctionnalités du site ne seront pas affectées. Ainsi, il n’y a aucun risque que les données de votre site internet soient compromises.
Google Chrome a annoncé un calendrier pour le renouvellement des certificats SSL
Afin de déterminer si le certificat SSL de votre site Web est affecté par ce changement, vous devez vérifier la validité du certificat. Il existe un certain nombre d’outils en ligne qui peuvent vous aider à confirmer la validité de vos certificats SSL : avec une simple recherche, sélectionnez et téléchargez votre programme pour vérifier la validité de leur certificat. Vous pouvez aussi vérifier la validité à l’aide de votre propre navigateur. Ici, nous vous indiquons comment savoir si vos certificats SSL sont à jour ou non pour Google Chrome et Mozilla Firefox.
Pour vérifier le statut de votre certificat SSL sur Chrome, sélectionnez l’icône qui se trouve à côté de l’URL. Ce peut être un cadenas vert (connexion sécurisée), un point d’exclamation jaune (aucun certificat fourni), une icône de page blanche (ce site Internet ne nécessite pas d’authentification préalable), une icône avec un cadenas et un triangle jaune (certificat fourni, mais la norme de sécurité est faible) ou d’un cadenas rouge (le site émet un certificat). Cliquez sur l’icône présente et une fenêtre s’ouvrira avec une option pour visualiser le certificat :
Vérifier la validité de votre certificat sur Google Chrome est facile
Allez dans l’onglet « Details » dans la deuxième fenêtre pop-up et vous pourrez trouver les dates de validité du certificat du site Web.
Le processus de vérification de la validité d’un certificat SSL sur Mozilla Firefox est plus ou moins le même que pour Chrome. A côté de l’URL devrait se trouver une icône de sécurité, soit un cadenas vert (sécurisé), un cadenas gris avec un triangle d’exclamation jaune (la connexion peut ne pas être sécurisée) ou un cadenas gris avec une ligne rouge en travers (la connexion n’est pas sécurisée). En cliquant sur l’icône de sécurité, une petite fenêtre pop-up s’ouvre :
Vérifier la validité de votre certificat sur Mozilla Firefox est presque similaire
Cliquez simplement sur la flèche à côté des informations de connexion du site Web et une autre fenêtre s’ouvrira. Dans l’onglet « General » de la fenêtre pop-up, la période de validité s’affiche en bas de l’écran.
The timeline consists of two phases which match Google Chrome 66 & 70 version releases:
Vue d’ensemble du calendrier de remplacement pour les certificats SSL
Phase I – Les certificats émis avant le 1er juin 2016 ne seront pas reconnus par Chrome 66. Vous devrez renouveler les certificats SSL émis avant cette date avant le 15 mars 2018.
Phase II – Si votre certificat SSL a été émis après le 1er décembre 2017, il n’est pas nécessaire de le réémettre. Les certificats émis avant le 1er décembre 2017 ne seront pas reconnus par Chrome 70. Tout certificat SSL émis avant cette date devra être remplacé d’ici le 13 septembre 2018. Avec Chrome 66, vous pouvez déjà remarquer un avertissement dans Chrome Developer Tools :
Les utilisateurs de Chrome 66 sont peut-être déjà en train de recevoir ce message d’avertissement
Si le certificat SSL n’est pas remplacé avant la sortie de Chrome 70, vos clients ne pourront plus accéder à votre site :
Les utilisateurs de Chrome 70 peuvent déjà avoir cet avertissement
Tous les certificats SSL concernés doivent donc être remplacés par une opération de réémission. Il s’agit d’un nouveau certificat pour le même domaine, avec la même date d’expiration que celui qui a été remplacé.
si votre certificat expire avant le 13 septembre 2018 (Chrome 70 beta), il n’y a aucune action à entreprendre.
Symantec/DigiCert offre gratuitement aux clients concernés un nouveau certificat SSL.
Vous devrez créer un CSR (Certificate Signing Request) pour chacun des certificats que vous souhaitez remplacer ou faire renouveler, ce qui est une procédure standard pour envoyer à DigiCert votre clef publique, des informations sur votre société et votre nom de domaine. Il faut soumettre votre demande, et dès la revalidation de vos domaines et organisations par DigiCert, vous recevrez le nouveau certificat que vous pouvez installer.
en tant que client IONOS, le remplacement sera pris en charge automatiquement afin d’assurer les dernières normes de sécurité et la complète compatibilité avec le navigateur. Cliquez ici pour plus d’informations.
Le thème de la sécurité sur Internet prend une importance grandissante, que ce soit pour un usage personnel ou un usage professionnel. En tant qu’exploitant de site Web, on devrait prendre toutes les mesures de sécurité possibles pour son site, rendre la visite des internautes la plus sûre possible et garantir des transmissions de données sans risques depuis son serveur Web. Passer un site Web en...
Les certificats SSL/TLS jouent un rôle de plus en plus important dans la transmission de données sensibles. Ils garantissent en effet que les paquets de données atteignent le destinataire souhaité sans détour. Les problèmes ne surviennent que lorsque les internautes sont spécifiquement redirigés par des certificats invalides provenant d’autorités de certification douteuses : un scénario qui peut...
Les sitemaps figurant parmi les fonctionnalités par défaut d’un site Internet, mais ils sont de moins en moins fréquents sur le Web. Certains sites masquent le fichier de navigation ou même l’abandonnent complètement. Nous vous montrons ici quelle attention les moteurs de recherche comme Google accorde aux sitemaps, et l’importance des sitemaps en SEO. Puis comment vous pouvez créer vous-même des...
La sécurité sur Internet reste plus que jamais primordiale et cela que vous soyez exploitant d’un site Web ou bien simple internaute. Ainsi, il est nécessaire de comprendre les bases de la sécurité sur Internet. C’est pourquoi nous vous expliquons exactement ce que sont les certificats SSL et pourquoi vous en avez besoin. Le cryptage et l’authentification sont en effet les principaux objectifs des...
