Remplacer les certificats SSL (Secure Socket Layer) affectés par la méfiance des navigateurs
Les navigateurs Internet populaires Google Chrome et Mozilla Firefox ont récemment annoncé leur intention de se méfier de tous les certificats SSL émis par la société Symantec avant le 1er décembre 2017. Un certificat SSL est un élément important d’un site Web qui traite des informations personnelles sensibles. Les solutions de sécurité Web de Symantec et d’autres solutions PKI ont été reprises par la société DigiCert. Cette acquisition va permettre à DigiCert de mettre à jour et de moderniser plusieurs aspects du modèle Symantec. Cependant, Chrome et Mozilla ont entre-temps décidé de supprimer les certificats SSL de Symantec de la liste de confiance jusqu’à l’application définitive de ce ces mises à jour.
- Sécurisez vos transferts de données
- Renforcez la confiance de vos clients
- Améliorez votre positionnement sur Google
Pourquoi ces certificats SSL sont-ils ciblés ?
La décision de Chrome et de Mozilla de se méfier des certificats SSL est le résultat d’un petit nombre de divergences dans les certificats SSL qui ont été émis entre 2015 et aujourd’hui. La principale critique concernait la capacité de Symantec à garantir un processus d’authentification approprié pour les certificats SSL. Les débats entre Symantec et la communauté des navigateurs se sont étalés sur plusieurs mois et se sont conclus par deux points d’action principaux définis par Google Chrome et confirmés plus tard par Mozilla :
- Symantec doit s’associer à une autre autorité de certification pour exécuter les processus d’authentification et d’émission SSL à partir d’une nouvelle infrastructure.
- Tous les certificats SSL émis à partir des racines Symantec antérieures ne seront plus fiables et devront être remplacés sans coûts supplémentaires par étapes selon un calendrier.
Peu après cette décision, Symantec a vendu son activité SSL à Digicert qui a commencé à émettre des certificats SSL entièrement conformes à partir de sa nouvelle infrastructure CA le 1er décembre 2017.
Bien que Chrome et Mozilla puissent agir dans l’intérêt de la sécurité de leurs clients, il existe un certain nombre de navigateurs, comme Internet Explorer, Safari et Opera, qui choisissent de ne pas afficher de messages d’avertissement aux visiteurs, car ils ne croient pas que la menace soit si grave que Chrome et Mozilla le prétendent. Indépendamment du risque de sécurité, de nombreux exploitants de sites Web peuvent voir leur site Web affecté par cette vague de méfiance.
Quand les certificats SSL seront-ils affectés ?
Chrome émet des avertissements de sécurité à partir du 16 avril 2018 à destination des utilisateurs de Chrome 66 (et versions plus anciennes), lorsqu’ils tentent d’accéder à un site Web chiffré par Symantec SSL. Cet avertissement apparait sur tous les certificats SSL Symantec émis avant le 1er juin 2016. À partir d’octobre 2018, les utilisateurs de Chrome 70 (et versions plus récentes) recevront aussi le message sur tous les sites qui contiennent des certificats Symantec SSL émis avant le 1er décembre 2017. Le message d’avertissement indique simplement que l’échange de données peut être dangereux. Les visiteurs peuvent accepter l’avertissement et continuer à accéder au site sans entrave : les fonctionnalités du site ne seront pas affectées. Ainsi, il n’y a aucun risque que les données de votre site internet soient compromises.
Comment savoir si mon certificat est affecté ?
Afin de déterminer si le certificat SSL de votre site Web est affecté par ce changement, vous devez vérifier la validité du certificat. Il existe un certain nombre d’outils en ligne qui peuvent vous aider à confirmer la validité de vos certificats SSL : avec une simple recherche, sélectionnez et téléchargez votre programme pour vérifier la validité de leur certificat. Vous pouvez aussi vérifier la validité à l’aide de votre propre navigateur. Ici, nous vous indiquons comment savoir si vos certificats SSL sont à jour ou non pour Google Chrome et Mozilla Firefox.
Google Chrome
Pour vérifier le statut de votre certificat SSL sur Chrome, sélectionnez l’icône qui se trouve à côté de l’URL. Ce peut être un cadenas vert (connexion sécurisée), un point d’exclamation jaune (aucun certificat fourni), une icône de page blanche (ce site Internet ne nécessite pas d’authentification préalable), une icône avec un cadenas et un triangle jaune (certificat fourni, mais la norme de sécurité est faible) ou d’un cadenas rouge (le site émet un certificat). Cliquez sur l’icône présente et une fenêtre s’ouvrira avec une option pour visualiser le certificat :
Allez dans l’onglet « Details » dans la deuxième fenêtre pop-up et vous pourrez trouver les dates de validité du certificat du site Web.
Mozilla Firefox
Le processus de vérification de la validité d’un certificat SSL sur Mozilla Firefox est plus ou moins le même que pour Chrome. A côté de l’URL devrait se trouver une icône de sécurité, soit un cadenas vert (sécurisé), un cadenas gris avec un triangle d’exclamation jaune (la connexion peut ne pas être sécurisée) ou un cadenas gris avec une ligne rouge en travers (la connexion n’est pas sécurisée). En cliquant sur l’icône de sécurité, une petite fenêtre pop-up s’ouvre :
Asha SreenivasShutterstock
Cliquez simplement sur la flèche à côté des informations de connexion du site Web et une autre fenêtre s’ouvrira. Dans l’onglet « General » de la fenêtre pop-up, la période de validité s’affiche en bas de l’écran.
Calendrier de remplacement et mesures requises
The timeline consists of two phases which match Google Chrome 66 & 70 version releases:
Phase I – Les certificats émis avant le 1er juin 2016 ne seront pas reconnus par Chrome 66. Vous devrez renouveler les certificats SSL émis avant cette date avant le 15 mars 2018.
Phase II – Si votre certificat SSL a été émis après le 1er décembre 2017, il n’est pas nécessaire de le réémettre. Les certificats émis avant le 1er décembre 2017 ne seront pas reconnus par Chrome 70. Tout certificat SSL émis avant cette date devra être remplacé d’ici le 13 septembre 2018. Avec Chrome 66, vous pouvez déjà remarquer un avertissement dans Chrome Developer Tools :
Si le certificat SSL n’est pas remplacé avant la sortie de Chrome 70, vos clients ne pourront plus accéder à votre site :
Passer à l’action
Tous les certificats SSL concernés doivent donc être remplacés par une opération de réémission. Il s’agit d’un nouveau certificat pour le même domaine, avec la même date d’expiration que celui qui a été remplacé.
si votre certificat expire avant le 13 septembre 2018 (Chrome 70 beta), il n’y a aucune action à entreprendre.
Symantec/DigiCert offre gratuitement aux clients concernés un nouveau certificat SSL. Vous devrez créer un CSR (Certificate Signing Request) pour chacun des certificats que vous souhaitez remplacer ou faire renouveler, ce qui est une procédure standard pour envoyer à DigiCert votre clef publique, des informations sur votre société et votre nom de domaine. Il faut soumettre votre demande, et dès la revalidation de vos domaines et organisations par DigiCert, vous recevrez le nouveau certificat que vous pouvez installer.