Les erreurs de certificats numériques sont devenues plus rares ces dernières années, d’où son étonnement. En particulier parce que le certificat à l’origine de l'erreur est utilisé par une assez grande entreprise et non par une petite boutique en ligne peu à l’aise avec les questions de sécurité informatique. Pour examiner le certificat numérique plus en détail et savoir d’où venait l'erreur, celui-ci a immédiatement cliqué sur le lien « Non sécurisé » précédant l'URL incriminée. Cela fait plus de 20 ans que notre confrère traite les sujets de Public Key Infrastructure (PKI) ou d’infrastructure à clé publique (ICP) et de certificats numériques et il aime bien comprendre les erreurs par lui-même et voir à quel niveau se situe le problème.

D’après les propres recherches de Google, plus une personne est informée sur les PKI et les certificats numériques, plus elle a tendance à ignorer les erreurs de certificat numérique et à aller sur des sites Web contenant des erreurs de certificat numérique malgré les risques. Pour cette même raison, pendant plusieurs années, Google et Microsoft ont pris le parti de fournir moins d'informations sur les certificats numériques en cas d’erreur. Heureusement, les deux entreprises semblent avoir changé d’approche et il est désormais possible d’inspecter l’erreur plus avant. C’est ce qu’a fait notre confrère. En examinant le certificat numérique incriminé, voici ce qu’il a découvert :

 

Légende : Détails sur l’erreur du certificat numérique (Crédit : Google)

Une erreur pas facilement identifiable

Autrement dit, il n’a trouvé aucune erreur ou défaut, du moins rien de facilement identifiable. Le site utilise le SHA256 (pas le SHA1). Il a une clé RSA 2048 bits (pas 1024 bits). L’objet, *.brighthouse.com, correspond à la page du site Web visité, et apparaît aussi sous le champ Subject Alternative Name (SAN). Généralement, selon notre confrère, la plupart des erreurs de certificat se situent dans les champs objet ou SAN, car elles sont liées au nom de domaine URL. Mais, dans le cas présent, il n’a trouvé aucune erreur facile à identifier. Ce qui l’a rendu encore plus perplexe.

Pour en avoir le cœur net, il a rapidement ouvert l’URL dans Microsoft Edge. Cette fois, le site Web et le certificat se sont affichés sans erreur. Dans le navigateur Edge, il a ouvert le certificat numérique, examiné le numéro de série et les valeurs de l’empreinte, et en les comparant au certificat numérique affiché par Google Chrome, il a constaté que c’était bien le même certificat. Mais pour une raison quelconque, Chrome n'aimait pas ce certificat. Il a quitté Edge et continué avec Chrome. Alors, il a fait ce qu’il aurait dû faire dès le départ : il a lu le message d'erreur affiché par Chrome.

 

Légende : L'erreur affichée par Chrome concerne spécifiquement le certificat PKI de Symantec. (Crédit : Google)

Un problème jugé sérieux par la communauté

Dans ce message d'erreur, il a pu trouver l’indice qui expliquait tout. À savoir NET: : ERR_CERT_SYMANTEC_LEGACY. L'an dernier, Google et Symantec se sont pas mal opposés sur des questions diverses, mais le véritable motif de conflit concernait l’émission, par l'intermédiaire d'une ou plusieurs activités PKI de Symantec (VeriSign, Thawte, GeoTrust, RapidSSL, etc.) de certificats incluant des noms de domaine Google pour des entités n'appartenant pas à Google.

Le problème avait été jugé sérieux par la communauté de la sécurité informatique. Après des critiques sévères, Google a finalement estimé que la communauté de la sécurité ne pouvait plus faire confiance à Symantec ou à tout certificat numérique émis par Symantec. Au point que le géant technologique a annoncé, entre autres choses, l’invalidation prochaine de tous les certificats émis par Symantec. La décision impliquant le rejet des dizaines de millions, voire des centaines de millions de certificats publics émis par les autorités PKI de Symantec a paniqué une grande partie du monde. Des millions de sites Web très populaires et de confiance pourraient commencer à provoquer des erreurs.

Plus d'erreurs de certificats dans Chrome

Après avoir consulté la plupart des acteurs de l'industrie, dont le très respecté CA/Browser Forum chargé des normes PKI, Google a décidé de retarder l’invalidation des PKI de Symantec et de les introduire plus progressivement. Or, ce moment est arrivé. Google a expliqué son calendrier et comment les différentes versions de Chrome ont progressivement intégré la restriction. Il s'avère que toutes les grandes entreprises qui auraient dû mettre à jour leurs certificats avant aujourd’hui ne l'ont pas fait. Les plaintes des clients et des cadres vont probablement obliger ces entreprises à se mettre à jour dans les plus brefs délais.

Même si notre confrère estime, comme d'autres, que la solution de Google a été un peu brutale, il trouve normal que Google applique des règles de sécurité à ses propres produits et que l’entreprise a le droit de pêcher par excès au nom de la sécurité. Cependant, il aurait aimé que le message d'erreur affiché dans Chrome soit un peu plus informatif et moins alarmiste. Par exemple, prévenir le visiteur que l’entreprise à laquelle il se connecte « utilise un certificat numérique invalide », et lui fournisse plus de détails vient un lien, au lieu de le mettre en garde contre un piratage imminent. Il se demande pourquoi les messages d’alerte offrent si peu d'informations utiles au visiteur occasionnel. C'est peut-être pour cette raison que sa première réaction a été d’outrepasser le message d’alerte et d’essayer d’en savoir plus.

Tout cela pour dire que si vous utilisez Google Chrome, vous verrez sûrement plus d’erreurs de certificats numériques. Si « Symantec_Legacy » apparaît dans le message d’alerte, vous saurez de quoi il s'agit.