La décision de Chrome et de Mozilla de se méfier des certificats SSL est le résultat d’un petit nombre de divergences dans les certificats SSL qui ont été émis entre 2015 et aujourd’hui. La principale critique concernait la capacité de Symantec à garantir un processus d’authentification approprié pour les certificats SSL. Les débats entre Symantec et la communauté des navigateurs se sont étalés sur plusieurs mois et se sont conclus par deux points d’action principaux définis par Google Chrome et confirmés plus tard par Mozilla :
- Symantec doit s’associer à une autre autorité de certification pour exécuter les processus d’authentification et d’émission SSL à partir d’une nouvelle infrastructure.
- Tous les certificats SSL émis à partir des racines Symantec antérieures ne seront plus fiables et devront être remplacés sans coûts supplémentaires par étapes selon un calendrier.
Peu après cette décision, Symantec a vendu son activité SSL à Digicert qui a commencé à émettre des certificats SSL entièrement conformes à partir de sa nouvelle infrastructure CA le 1er décembre 2017.
Bien que Chrome et Mozilla puissent agir dans l’intérêt de la sécurité de leurs clients, il existe un certain nombre de navigateurs, comme Internet Explorer, Safari et Opera, qui choisissent de ne pas afficher de messages d’avertissement aux visiteurs, car ils ne croient pas que la menace soit si grave que Chrome et Mozilla le prétendent. Indépendamment du risque de sécurité, de nombreux exploitants de sites Web peuvent voir leur site Web affecté par cette vague de méfiance.