Chrome 70 va bloquer des centaines de sites sécurisés
La prochaine version de Google Chrome pourra poser problème à de nombreux sites web à cause de l’arrêt du support d’anciens certificats de sécurité.
Chrome 70 va être proposé au téléchargement dans les prochains jours et pourrait donner du fil à retordre aux développeurs de sites internet. Le navigateur va en effet abandonner le support de certificats de sécurité fournis par Symantec, mais également VeriSign ou encore RapidSSL. Ces certificats sont anciens, développés avant 2016, et Google les juge aujourd’hui obsolètes pour son navigateur.
Des centaines de sites risquent d’être inaccessibles à partir de Chrome
Le problème, c’est qu’ils sont encore utilisés aujourd’hui par de nombreux sites web pour établir une connexion sécurisée entre l’utilisateur et le service web en question. Scott Helme, chercheur en sécurité informatique, a listé 1 139 sites faisant partie du top 1 million Alexa, un indicateur classant les sites web selon leur popularité et leur trafic.
On peut lister par exemple le site gouvernemental de Tel-Aviv, la Banque fédérale indienne ou le site de l’Université de Pennsylvanie. Ferrari était également nommé dans cette liste, mais la marque italienne a modifié son certificat d’identification quelques jours plus tard.
Des certificats HTTPS Symantec bannis par Google
Google est en conflit avec la société de sécurité Symantec depuis 2017. En cause, les certificats HTTPS délivrés par l’entreprise, leader du secteur, et permettant de crypter les données transitant entre l’utilisateur et le site web, et de valider l’authenticité du site visité.
Ces certificats doivent répondre à des normes bien spécifiques émises par le Forum CAB, une association bénévole regroupant les plus importantes autorités de certification, dont Symantec. Or, c’est là que le bas blesse. Google accuse l’entreprise de déléguer l’émission de ses certificats à des sociétés tierces, qui ne respecteraient pas les normes de sécurité en vigueur.
Pour préserver ses utilisateurs d’éventuelles failles de sécurité, Google a pris la décision radicale d’exclure définitivement les certificats Symantec dans son navigateur. Les derniers sites à ne pas avoir changé leur mode d’identification devront désormais rapidement mettre à jour leurs certificats afin de ne pas se voir bloqué par le navigateur internet le plus populaire au monde aujourd’hui
