Après avoir imposé le chiffrement de ses services suite à ses déboires avec le gouvernement chinois, Google prévoit de renforcer la sécurité de ses certificats SSL (Secure Sockets Layer). Ces certificats sont utilisés pour chiffrer les échanges et vérifier l'intégrité des différents intervenants. Sa force réside dans la longueur de la clé privée utilisée comme signature des certificats.

Des clefs de moins de 1024 bits sont désormais considérées comme faibles et la firme de Mountain View qui utilisait habituellement ce niveau de chiffrement va passer à 2048 bits, écrit Stephen McHenry, directeur de l'ingéniérie sécurité chez Google dans un billet de blog. « Nous allons commencer le basculement vers les certificats en 2048 bits à partir du 1er août, afin de faire un déploiement prudent et total avant la fin de l'année ». Il ajoute « nous allons aussi modifier le certificat racine qui signe tous nos certificats SSL, car il comprend une clé en 1024 bits ».

Le responsable a indiqué que la plupart des logiciels clients ne seront pas impactés par le changement, mais les logiciels embarqués dans certains téléphones, imprimantes, décodeurs, consoles de jeux et appareils photo pourraient avoir des problèmes. Stephen McHenry explique que les terminaux qui se connectent à Google en SSL devront prendre en charge la validation normale de la chaîne de certificats, mais aussi mettre à jour un vaste ensemble de certificats racines et supporter le SAN (Subject Alternative Names), qui permet à un certificat SSL de valider plusieurs hôtes.

Encore des faiblesses dans le SSL

L'évolution de Google est prudente, mais le SSL recèle quelques points faibles. Des centaines d'organisations à travers le monde peuvent délivrer des certificats SSL qui sont attachés à une autorité dite de certificat. Ces organismes intermédiaires ont été ciblés par des pirates avec des certificats volés ou frauduleux. Google a été victime d'une telle attaque en 2011 via l'autorité de certification Diginotar. Les pirates ont généré au moins 500 certificats SSL frauduleux.

En 2009, le chercheur en sécurité Moxie Marlinspike  a créé un outil du nom de SSLstrip qui permet à un attaquant d'intercepter et de couper une connexion SSL. Celui-ci peut alors espionner toutes les données que l'utilisateur envoie vers un faux site.