Symantec a trouvé un moyen de se débarrasser des problèmes qu’il avait avec Google sur la validité de ses certificats TLS et SSL, en y gagnant au passage près de 1 milliard de dollars. Il vient en effet de vendre à DigiCert son activité Website Security et les solutions de PKI associées. Les développeurs de navigateurs web, dont Google, s’étaient enquis de la façon dont Symantec délivrait ses certificats pour garantir la légitimité des sites web et avaient menacé d’arrêter de les reconnaître. Mise à exécution, une telle menace se répercuterait sur les clients de Symantec et ne pourrait que perturber les visiteurs des sites web recourant à des certificats rejetés. Maintenant que Symantec a vendu l’activité en question pour 950 M$ en numéraire auxquels s’ajoutent 30% en actions dans DigiCert, il laisse à ce dernier la tâche de rassembler les morceaux et de remettre en ordre les procédures de délivrance des certificats. 

DigiCert a déjà pris les devants sur ce problème en indiquant dans un communiqué être convaincu que cet accord satisfera les besoins de la communauté des éditeurs de navigateurs. L’acquéreur ajoute qu'il informera les développeurs de ses intentions et qu’il continuera à travailler avec eux pendant la procédure d’acquisition de l’activité. Google a été le plus virulent d’entre eux à l’égard de Symantec. Au cours des deux dernières années, il a régulièrement critiqué ses procédures de délivrance de certificats, ces derniers étant destinés à sécuriser et authentifier les communications entre les sites web et les navigateurs, entre autres applications. En mars, Google a accusé Symantec d’avoir mal délivré au moins 30 000 certificats, ce qui permettait potentiellement des pirates d’abuser les internautes en faisant passer pour légitimes des sites web malveillants. 

Les certificats EV au centre des inquiétudes

Parmi les points les plus préoccupants figurent les certificats de validité étendue, EV, pour lesquels les émetteurs sont censés prendre des mesures supplémentaires pour authentifier l’identité de l’entité qui les demande. L’objectif est de fournir aux visiteurs du site web une confiance accrue dans la légitimité du site. Les navigateurs affichent l’identité authentifiée, par exemple, le nom de l’entreprise, dans la barre d’adresse, à côté de l’URL du site certifié, à la place de l’icône du cadenas qui indique que le site possède un certificat en bonne et due forme.

Face à la perspective de recontacter des millions de clients pour renouveler leurs certificats avant l'échéancier et de réaffecter l'identité des titulaires de certificats EV, Symantec a choisi de transférer le problème à DigiCert. Ce dernier est un tout petit acteur comparé à l’activité qu’il acquiert. Il ne détient que 2,2% du marché de délivrance des certificats SSL contre 14% pour Symantec, selon W3Techs. Netcraft estime de son côté que Symantec pèse 40% sur les certificats EV et 30% sur l’organisation de la validation des certificats. DigiCert va donc prendre de l’ampleur. Avant l’acquisition, il comptait 225 personnes aux Etats-Unis. A la fin de la transaction, il aura dépassé les 1000 personnes, selon Symantec. 

L'équipe de Chrome venait d'accepter une proposition de Symantec

Les navigateurs web acceptent automatiquement les certificats délivrés par Symantec et par les autres sociétés du même type, mais Google a commencé à réduire le niveau de confiance dans son navigateur Chrome pour les anciens certificats fournis par Symantec. Cela se traduit par des avertissements de sécurité lorsque les utilisateurs de Chrome visitent certains sites web. Google avait prévu d’augmenter l'an prochain les avertissements pour des certificats délivrés à la suite de procédures qu’il juge non sécurisées. Les certificats SSL restent valides pendant une période donnée, à moins qu’ils ne soient révoqués. Et en mars dernier, Google avait indiqué qu’il commencerait à refuser les certificats ayant une validité supérieure à 33 mois dans Chrome 59, l’actuelle version de son navigateur. Dans Chrome 64, attendu au début de l’année prochaine, il a prévu de réduire ce délai à 9 mois. Il aurait donc fallu redélivrer tous les certificats après avril 2017 pour continuer à travailler avec Chrome. 

La semaine dernière, l’équipe de Chrome a accepté la proposition de Symantec de redélivrer tous les certificats d’ici le 1er décembre 2017, en les reliant à de nouveaux certificats racines détenus par une infrastructure managée partenaire indépendante. Cette proposition, toutefois, ne fait aucune référence à une vente de l’activité de certificats par Symantec.

Les exigences du Certificate Authority Security Council

Google n'est pas le seul à faire pression sur les autorités de certification pour mettre de l’ordre dans leurs procédures. L’an dernier, le Certificate Authority Security Council a publié de nouvelles exigences à ce sujet. Si le rôle le plus visible de ces certificats est la sécurisation des sites web, ils peuvent aussi être utilisés pour les serveurs d’identité et pour les équipements embarqués dans l’Internet des objets, ainsi que pour sécuriser les connexions aux services cloud et pour chiffrer le trafic des apps mobiles sur les smartphones.