Pour toute entreprise avec une présence sur le web, le certificat SSL est une nécessité, permettant de chiffrer les échanges entre le navigateur de l’internaute et le serveur web du site. Google affiche même une alerte de sécurité pour les sites n’utilisant pas de certificat SSL valide, ce qui a un gros impact sur le visitorat de ces derniers. Ces derniers jours, le moteur de recherche a annoncé la révocation des certificats SSL fournis par Symantec : les entreprises doivent réagir d’ici 2018 pour mettre à jour leurs certificats et maintenir cette sécurité sur leurs sites.

Symantec, un géant du certificat SSL, épinglé pour mauvaises pratiques

Symantec, c’est un nom que vous avez probablement déjà entendu. Ce géant de l’IT, surtout connu pour ses offres de sécurité informatique, fournit notamment des certificats SSL, brandés « Norton Secured ».

Cependant, Google a remarqué que Symantec avait un historique de non-respect des règles établies par le CA/Browser Forum concernant le processus d’émission et de gestion des certificats. Par exemple, la procédure de validation du contrôle du domaine, qui vérifie que la personne qui demande le certificat possède bien le nom de domaine du site concerné, n’était pas bien respectée.

Ce n’est pas la première fois que des manquements de ce type sont remarqués et sanctionnés, mais Symantec a enchaîné les incidents au cours des dernières années. La goutte d’eau qui a fait déborder le vase pour Google, ce sont les 127 certificats émis récemment avec de fausses informations, ou sans validation du contrôle du nom de domaine évoquée plus haut. Résultat : Symantec écope de la sanction la plus importante jamais vue sur le marché des certificats, avec la révocation progressive de l’ensemble de ses certificats.

Symantec n’est donc aujourd’hui plus vue comme une autorité de confiance. Or, l’entreprise distribue également des certificats racines à d’autres autorités de certifications comme VeriSign, GeoTrust, Equifax ou RapidSSL. Ces certificats racine servant de base à l’ensemble des certificats émis par ces autorités, ces derniers ne sont, par association, plus valables non plus, et doivent être mis à jour au même titre que les certificats SSL Symantec.

Comment et dans quel délai mettre à jour mes certificats ?

Google a bien sûr laissé quelques mois aux entreprises pour remettre à jour leurs certificats, avec des dates limites autour de mars/avril et septembre/octobre 2018 selon la date d’émission. Après ces dates, les sites affichant des certificats Symantec ne seront plus considérés comme sécurisés. En attendant, vos données restent protégées, aucune action de correction n’est nécessaire en dehors de la mise à jour.

Pour la mise en place de celle-ci, il faut attendre décembre 2017. En effet, DigiCert, une autre autorité de certification, rachète l’entité de certification de Symantec pour reprendre en main la validation et l’émission des certificats. Ainsi, seuls les certificats délivrés à partir du 1er décembre seront définitivement considérés comme valides.

A partir de cette date donc, il est nécessaire de prévoir les mises à jour :

  • Si vos certificats datent d’avant le 1er juin 2016, nous vous conseillons de prévoir la mise à jour avant le 1er mars 2018
  • Pour les certificats émis entre le 1er juin 2016 et le 1er décembre 2017, la mise à jour doit être réalisée avant le 1er septembre 2018

La mise à jour est simple : il suffit de demander une réémission de ces certificats. Ils passeront alors à nouveau par le processus de validation et d’émission, cette fois chez DigiCert. Une fois validés par l’autorité reconnue par Google, ils seront à nouveau valables.

Si vous êtes client Oceanet Technology, un plan d’action a été mis en place avec notre partenaire SSL247 pour le renouvellement des certificats concernés, que ce soit pour nos clients comme sur nos propres infrastructures. Contactez-nous pour en savoir plus !

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.