Pour répondre à plusieurs irrégularités dans l’émission de certificats SSL par Symantec ou ses revendeurs de certificats, Google envisage de sanctionner sévèrement l’autorité de certification. L’une des options envisagées est de forcer l’autorité de certification à remplacer tous les certificats de ses clients et de ne plus reconnaître le statut de validation étendue (EV). Selon une comptabilité tenue depuis 2015 par Netcraft, Symantec est responsable de l’émission d’un tiers des certificats SSL utilisés sur le Web, ce qui en fait le plus grand émetteur de certificats commerciaux dans le monde. Après des acquisitions successives, l’entreprise contrôle désormais les certificats racines de plusieurs autorités de certification autrefois autonomes, notamment VeriSign, GeoTrust, Thawte et RapidSSL.$
Les certificats SSL/TLS sont utilisés pour chiffrer les connexions entre les navigateurs et les sites Web compatibles HTTPS, mais aussi pour vérifier que les utilisateurs sont bien dirigés vers les sites Web qu'ils ont l'intention d'utiliser et non vers des sites contrefaits. Ces certificats sont émis par ce que l’on appelle des autorités de certification, approuvées par défaut par les navigateurs et les systèmes d'exploitation. Le processus d'émission et de gestion des certificats est régi par les règles établies par le CA/Browser Forum, une organisation qui compte parmi ses membres des éditeurs de navigateurs et des autorités de certification. Quand ces règles ne sont pas respectées, le navigateur et les éditeurs d'OS peuvent révoquer la confiance dans les certificats fautifs et sanctionner les autorités de certification responsables, jusqu'à les expulser de leurs entrepôts de certificats racines.
Une révocation graduelle
À la suite de l’enquête sur un incident récent, Google estime que Symantec n'a pas respecté les pratiques de sécurité que l’on peut attendre d’une autorité de certification, en particulier dans la procédure de validation du contrôle de domaine, l'audit des logs pour mettre en évidence les délivrances illicites et plus de vigilance dans la délivrance de certificats frauduleux. Si Google met ses sanctions à exécution, des millions de certificats Symantec existants ne seront plus reconnus comme dignes de confiance par Google Chrome au cours des 12 prochains mois. Le processus sera graduel, c’est-à-dire que chaque nouvelle version de Chrome à partir de la version 59 n’accordera plus sa confiance à une nouvelle série de certificats et révoquera la confiance dans les certificats dont la période de validité va au-delà de 33 mois.
Cette décision mettrait Symantec sous une énorme pression : l’entreprise va devoir contacter tous ses clients, valider une nouvelle fois leur identité et la propriété de leurs domaines, et remplacer leurs certificats existants par de nouveaux certificats, cela sans contribution financière de leur part. Il est probable que certaines entreprises auront du mal à remplacer leurs certificats dans des délais aussi courts, notamment celles qui les utilisent dans des terminaux de paiement et autres périphériques embarqués difficiles à atteindre. De plus, Symantec devra peut-être rembourser les clients qui ont payé pour les certificats de validation étendue (EV). Comme ils ne seront plus reconnus comme tels dans Chrome, leur valeur en sera considérablement réduite. L'interdiction des certificats EV de Symantec devrait se prolonger pendant au moins un an.
Une durée de vie de 9 mois seulement pour les certificats Symantec
Pour être dignes de confiance dans Chrome, tous les certificats de remplacement émis par Symantec ne pourront avoir une durée de validité dépassant neuf mois. Cela risque de poser de nouveaux problèmes aux grandes entreprises qui n’auront pas la possibilité de remplacer facilement leurs certificats tous les neuf mois. On peut dire avec certitude que les sanctions prises par Google pourraient avoir un impact significatif sur les activités SSL de Symantec. Elle pourrait perdre des clients qui ne sont pas prêts à supporter ces restrictions, et iraient donc s’adresser à une autre autorité de certification (CA).
Ce n’est pas la première fois que des éditeurs de navigateurs prennent des sanctions contre les autorités de certification pour sanctionner la délivrance inappropriée de certificats — ou leurs « défauts d’émission » comme le formule l'industrie — mais jamais à cette échelle et avec un impact aussi important sur l'écosystème. À chaque fois, certains se sont demandé si les éditeurs de navigateurs avaient vraiment le droit de prendre des sanctions aussi drastiques contre les plus grandes autorités de certification du monde, ou si ces autorités avaient tout simplement trop d’importance pour être mises en cause.
Des incidents à répétition
La raison de cette sanction sans précédent semble être liée à des incidents répétés dans l’émission inappropriée de certificats par Symantec au cours des dernières années. Certains de ces certificats n'ont même pas pu être identifiés par Symantec malgré les audits menés en interne et en externe. La dernière défaillance en date, découverte cette année, concerne 127 certificats émis avec de fausses informations ou sans vérification appropriée de la propriété de domaine par un partenaire de Symantec qui agissait en tant qu’autorité d'enregistrement (AE).