Suport technique et veille technologique

Bidouilleux d’Web  -  Retrait de la confiance envers les certificats TLS de Symantec

 -  Août 2018 - 

Sites avec certificat émis par Symantec
dans Chrome Canary à gauche
et Firefox Nightly à droite

La plupart des grands éditeurs de navigateurs ont annoncé des plans, qui arrivent rapidement à échéance, pour retirer la confiance accordée aux certificats émis par Symantec. Les admins de sites web dont la navigation sécurisée (HTTPS) repose sur de tels certificats doivent en changer rapidement, faute de quoi leurs sites ne vont rapidement plus s’afficher dans la plupart des navigateurs. La communauté Mozilla francophone a traduit le billet du blog Sécurité de Mozilla expliquant l’urgence de cette action.

Les utilisateurs et utilisatrices de Firefox Nightly peuvent aider à la transition en contactant les canaux de communication ou d’assistance des sites qui seront affectés par ces retraits de confiance.

Mise à jour sur le retrait de la confiance envers les certificats TLS de Symantec

Depuis la version 60, Firefox affiche une erreur « connexion non sécurisée » pour tout site utilisant un certificat TLS/ SSL émis avant le 1^er juin 2016 dont la chaîne de confiance remonte à un certificat racine de Symantec. Cela fait suite à une proposition de consensus, adoptée en 2017 par Mozilla, de retirer sa confiance aux certificats TLS de Symantec. Cette proposition a également été adoptée par l’équipe de Google Chrome et, plus récemment, Apple a annoncé son intention de ne plus accorder sa confiance aux certificats TLS de Symantec. Comme annoncé précédemment, l’acquisition par DigiCert de l’autorité de certification de Symantec ne change rien à ces plans.

Début mars, quand nous avons écrit sur ce sujet, environ 1 % des sites web ne fonctionnaient plus sous Firefox à cause du changement décrit ci-dessus. Juste avant la sortie de Firefox 60 le 9 mai 2018, moins de 0,15 % des sites étaient touchés – une amélioration majeure en l’espace de seulement quelques mois.

La prochaine phase du plan de consensus consiste à ne plus faire confiance à aucun des certificats TLS remontant à une racine Symantec, quelle que soit la date à laquelle il a été émis (notez qu’il y a une petite exception pour les certificats TLS émis par un petit nombre de certificats intermédiaires gérés par certaines entreprises, et cette phase ne concerne pas les certificats S/MIME). Ce changement est planifié pour Firefox 63, dont les dates de sortie prévues sont :

• bêta – 5 septembre
• version finale – 23 octobre

Nous avons commencé à mesurer l’impact du changement à venir sur Firefox 63. Nous avons constaté que 3,5 % des 1 million des sites web les plus populaires utilisent toujours des certificats Symantec qui vont être marqués comme indignes de confiance en septembre et octobre (et même avant pour Firefox Nightly) ! Ce nombre représente un impact considérable sur les utilisatrices et utilisateurs de Firefox, mais il a diminué de plus de 20 % dans les deux derniers mois, et alors que la sortie de Firefox 63 approche, nous prévoyons un rythme d’amélioration aussi rapide que celui observé avec la sortie de Firefox 60.

Nous encourageons fortement les administrateurs et administratrices de sites web à remplacer immédiatement tout certificat TLS Symantec restant afin d’éviter que leurs utilisatrices et utilisateurs soient touché⋅e⋅s quand ces certificats deviendront indignes de confiance pour Firefox Nightly et bêta dans les prochains mois. Ce changement à venir peut d’ores et déjà être testé avec Firefox Nightly. ■

Aller plus loin

Téléchargez Firefox en version :

• finale
• bêta
• Nightly

Calendrier des versions de Firefox

par Mozinet