Au cours des 12 prochains mois, selon un calendrier mis en place par Google, les entreprises devront remplacer les certificats numériques qui sécurisent leurs sites Web à défaut d'être considérés comme suspects par les utilisateurs de Chrome, le navigateur le plus populaire au monde. « Les entreprises ont le regard fixé sur cette date et la charge de travail que cela représente », a déclaré David Anthony Mahdi, directeur de recherche chez Gartner, et expert résidant d’un cabinet de recherche spécialisé dans les certificats numériques et les autorités de certification. « C'est colossal ». La firme de Moutain View critique depuis au moins deux ans la façon les procédures de délivrance des certificats de Symantec qui s'en est d'ailleurs débarrassé cet été en cédant son entité WebSite Security pour 1 milliard de dollars à DigiCert.
À partir de la version 66 de Chrome, dont l’arrivée est prévue pour la troisième semaine d'avril 2018, « les certificats émis par Symantec avant le 1er juin 2016 ne seront plus considérés comme dignes de confiance par Google », ont prévenu trois membres de l'équipe de sécurité du navigateur dans un blog du géant de l’Internet. « Les opérateurs de sites ayant un certificat délivré par une autorité de certification Symantec avant le 1er juin 2016, donc en amont de la sortie de Chrome 66, devront remplacer le certificat existant par un nouveau certificat délivré par une Autorité de certification approuvée par Chrome ».
Le calendrier détaillé
De plus une autre version de Chrome, dont la sortie est prévue dans un peu plus d'un an, rejettera tous les certificats de Symantec, peu importe leur date de publication. À partir du moment où Google n’accordera plus la confiance à ces certificats, les utilisateurs verront apparaître des messages soit très explicites, soit plus subtils, les informant que la connexion entre le navigateur et le site Web n’est pas sécurisée. Le processus défini cette semaine par Google s’étalera sur une année. Pendant les douze mois, tout certificat ayant un lien avec des certificats racines émis par Symantec, y compris ceux des autorités de certification œuvrant sous la bannière de Symantec comme Equifax, GeoTrust et, bien sûr, VeriSign, sera supprimé.
Entre le 22 et le 28 octobre 2017, la version 62 de Chrome livrée dans cette période affichera une nouvelle fonctionnalité dans l'élément de menu « Outils de développement » (sous le menu « Afficher/Développeur ») qui permettra de voir les certificats concernés. En décembre 2017, DigiCert, qui envisage de racheter l'activité de certification de Symantec pour un milliard de dollars environ, doit disposer dès le mois concerné d’une « infrastructure de gestion de partenariat » opérationnelle et doit être en mesure d'émettre des certificats en remplacement des certificats qui ne bénéficieront plus de la confiance de Chrome en 2018. Entre le 15 et le 21 avril 2018, date de sortie prévue pour Chrome 66, tous les certificats délivrés par Symantec avant le 1er juin 2016 seront considérés comme non dignes de confiance par la nouvelle version du navigateur. Entre le 21 au 27 octobre 2018, tous les certificats liés à l'infrastructure racine de Symantec à une date antérieure à décembre 2017 ne seront plus approuvés par Chrome 70, dont la sortie est prévue pendant cette même semaine.
Et maintenant ?
Même si les entreprises surveillent de près le calendrier et l’échéance du printemps prochain, Symantec et son successeur DigiCert n’ont toujours pas fourni de consigne claire sur le processus de remplacement des certificats. Le directeur de recherche de Gartner explique que lui-même, comme les clients des autorités de certification de Symantec, était toujours dans le flou après avoir parlé avec des dirigeants de l’entreprise et de DigiCert. « Les clients se demandent comment seront migrés les certificats ? Combien coûtera la migration ? », a ainsi déclaré le directeur de recherche de Gartner, relayant les questions que lui ont posées des clients du cabinet d’études. « Ils veulent savoir plus précisément ce qui va se passer. Car ils ne le savent toujours pas ».
Pour l’instant, David Anthony Mahdi leur conseille, pour se préparer, d’appliquer les mêmes processus que ceux qu’ils utilisent quand ils doivent renouveler des certificats de site. « Il y a beaucoup d'options », a-t-il déclaré. « Si vous êtes un client actuel de Symantec, demandez à Symantec de vous fournir dès que possible un calendrier précis du processus. Demandez aussi ce qu’ils offrent pour vous inciter à rester. Car les concurrents ne manquent pas : Entrust, GlobalSign et Comodo », a encore déclaré le directeur de recherche de Gartner. « Le marché des certificats est très standardisé et les gens choisissent en général le fournisseur en fonction du prix, de la marque et du support ». David Anthony Mahdi conseille aux entreprises de comparer les offres d’au moins trois fournisseurs, comme ils le feraient avant un renouvellement de leur contrat.