Fin de partie pour l'autorité de certification Entrust. Après de (trop) nombreux rapports d'incidents, Google a décidé de rompre avec l'un de ses partenaires de longue date pour la bonne sécurité des utilisateurs et utilisatrices de Chrome.
Dans un billet de blog officiel, Google a annoncé qu'elle cesserait bientôt toute collaboration avec Entrust, autorité délivrant des certificats TLS/SSL attestant de la bonne sécurité des sites web que visitent les internautes.
Cette décision intervient quelques semaines après la publication par Mozilla d'une liste d'incidents ayant eu lieu entre les mois de mars et mai 2024, imputables à l'autorité de certification. Conséquence : à partir du 31 octobre, les certificats Entrust ne seront plus approuvés par défaut dans les versions 127 et ultérieures de Chrome.
Coup(s) de canif dans le contrat
Pour Google, le marché a toujours été très clair. Pour qu'une autorité de certification (AC) puisse intégrer le magasin racine de certificats de Chrome, elle doit pouvoir prouver que l'intégration continue de ses certificats au navigateur apporte davantage de bénéfices qu'elle ne présente de risques pour l'internaute. Et pour cause, parce qu'elles garantissent l'authenticité et l'intégrité des connexions chiffrées entre le navigateur et les sites web, les AC endossent une responsabilité importante dans le processus de navigation.
Or, dans le cas d'Entrust, la multiplication d'incidents de sécurité et de chiffrement (délais de révocation trop longs pour les certificats défaillants, mise en conformité tardive avec les dernières normes, utilisation d'algorithmes de hash trop faibles en association avec les clés de sécurité recommandées, etc.) ainsi que l'absence de prises de mesure pour renforcer la fiabilité de ses certificats ont conduit la firme de Mountain View à officialiser la fin d'une collaboration de 6 ans.
Quels effets sur les sites web et les internautes ?
Quatre mois : c'est le délai accordé aux éditeurs de sites web pour se tourner vers une autre autorité de certification. Passé le 31 octobre prochain, les versions 127 et suivantes de Chrome désactiveront automatiquement l'approbation par défaut des certificats TLS/SSL édités par Entrust. En clair, si les entreprises du Web souhaitent limiter l'impact négatif de cette décision sur leur trafic, elles devront prendre garde à ne pas renouveler leurs certificats expirés. Afin de les aider à savoir dans quelles mesures elles seront concernées par ces changements, Google a rappelé que la visionneuse des certificats Chrome répertoriait le nom des sociétés éditrices.
Côté internautes, les désagréments toucheront davantage au confort de navigation qu'à autre chose. À partir du 1er novembre, s'ils consultent un site web n'ayant pas changé d'AC, ils seront redirigés vers une page d'alerte signalant que leur connexion n'est pas privée. Un bouton de Paramètres avancés leur permettra cependant de valider manuellement les certificats Entrust, à leurs risques et périls.
- Bonnes performances
- Simple et agréable à utiliser
- Mises à jour régulières
Source : Google