Digicert a annoncé, mercredi 2 août, le rachat de la branche Website Security Business de Symantec (incluant notamment le business SSL, et quelques autres services). C’est la conséquence directe du conflit qui oppose depuis quelques mois Symantec à Google.
Vous avez certainement entendu parler de ce différend qui oppose les deux sociétés sur un certain nombre de certificats émis par Symantec et la possible perte de confiance envers ces certificats dans les prochaines versions de Chrome. Beaucoup d’informations et de dates ont circulé sur le sujet, parfois contradictoires, et il peut être délicat d’évaluer l’impact sur vos propres certificats.
Nameshield, en tant que partenaire Platinum de Symantec, a suivi de très près le développement de cette affaire pour s’assurer que ses clients et partenaires ne risquent pas d’être impactés et de subir une perte de confiance au sein des navigateurs. Les tout derniers développements de cette affaire nous amènent à communiquer les informations importantes qui suivent.
Que s’est-il passé ?
Google et Symantec ont eu un premier différend en 2015, les équipes de Symantec prenant alors pour exemple, lors de sessions de formation de leurs employés, des certificats souvent basés sur le CN google.com, en les émettant réellement pour ensuite les supprimer. C’était objectivement une erreur et Google a sanctionné Symantec en rendant obligatoire l’inscription de l’ensemble des certificats au sein de la base Certificate Transparency, ce qui depuis est devenu un standard du marché et une obligation pour toutes les Autorités de Certification. Cette décision était effective au 1er Juin 2016.
Au début de l’année 2017 Google et Mozilla ont fait part de la découverte de 127 certificats Symantec comportant des irrégularités, amenant une enquête approfondie de la part de Google qui aurait trouvé près de 30 000 certificats impactés. Google a décidé de sanctionner fortement Symantec en réduisant à 9 mois la durée des certificats et en voulant supprimer le statut EV pour les certificats Symantec dans un délai très court. Symantec a pour sa part réagi immédiatement en sanctionnant 4 partenaires à l’origine des erreurs. De nombreuses discussions entre ces deux groupes, et avec de nombreux acteurs importants de l’industrie, ont eu lieu depuis le mois de Mars 2017. Une partie de ces publications, propositions et contre-propositions ont semé la confusion.
Ces différentes discussions ont donc amené Google et Symantec à un accord sur une méthode et un calendrier de transition vers une nouvelle infrastructure PKI pour Symantec. Google a communiqué officiellement vendredi 28 juillet sur le sujet. Cette communication peut être consultée ici.
Symantec s’engage à créer une nouvelle infrastructure PKI en collaboration avec un tiers pour prouver sa bonne foi, répondre aux exigences de transparence de Google et maintenir le haut degré de confiance dont le groupe a toujours bénéficié de la part des internautes. Ce changement d’infrastructure va intervenir au 1er décembre 2017 et nécessitera le remplacement (ou le renouvellement le cas échéant) de l’ensemble des certificats existants pour les marques Symantec, Thawte, Geotrust et RapidSSL. Ce délai allongé permettra une transition en douceur, sans impact sur les internautes.
Depuis le 2 août, nous savons que ce tiers de confiance sera donc Digicert.
Quel calendrier ?
Google distingue les certificats Symantec émis avant le 1er Juin 2016 de ceux émis après cette date (inscription obligatoire dans Certificate Transparency). La perte de confiance dans ces deux catégories de certificats arrivera au travers de deux versions différentes de Chrome d’où le calendrier suivant :
– Catégorie 1 : les certificats émis avant le 1er juin 2016 devront être remplacés (ou renouvelés *) entre le 1er décembre 2017 et le 15 mars 2018 (arrivée de la beta Chrome 66).
– Catégorie 2 : les certificats émis entre le 1er juin 2016 et le 30 novembre 2017 devront être remplacés (ou renouvelés *) entre le 1er décembre 2017 et le 13 septembre 2018 (arrivée de la beta Chrome 70).
L’urgence éventuelle communiquée par différents acteurs du marché n’a donc pas lieu d’être.
* Renouvellement anticipé : un renouvellement peut être effectué jusqu’à 90 jours avant la date d’expiration d’un certificat, sans pénaliser la durée du nouveau certificat délivré.
Êtes-vous impacté ?
Oui, si vous disposez de certificats émis avec une des marques de Symantec (Symantec, Thawte, Geotrust, RapidSSL) via Nameshield ou d’autres prestataires avec qui vous travailleriez. Reste à les répartir dans les deux catégories mentionnées. Nous pourrons vous aider à identifier les éventuels certificats impactés ainsi que leur répartition dans les bonnes catégories, afin de prévoir les actions à mener à partir du 1er décembre 2017.
Et Digicert dans tout ça ?
Digicert est une société américaine, dont la part de marché actuelle représente 2,2% du marché mondial selon le dernier rapport de W3tech. C’est une société réputée pour la qualité du travail de ses équipes d’authentification et sa conformité avec les Baseline Requirements du CAB forum. Digicert grossit régulièrement depuis plusieurs années sur des valeurs de sérieux et gère les portefeuilles de certificats de sociétés et sites web très importants, partout dans le monde.
Digicert va devenir un acteur majeur du marché des certificats en reprenant les 14% de parts de marché global de Symantec. Plus intéressant encore, les 40% de parts de marché sur les certificats EV et 30% sur les certificats OV que représente Symantec.
Pour l’ensemble des clients de Symantec, cette acquisition est, sur le papier, une bonne nouvelle. C’est une garantie de continuité dans la qualité des prestations fournies. C’est le gage d’une transition efficace vers la nouvelle infrastructure PKI demandée par Google. Reste à surveiller la capacité de Digicert à respecter le calendrier imposé par Google, nous surveillerons cela de près.
Qu’en pense Nameshield ?
Nameshield fait confiance à Symantec et ses équipes depuis de nombreuses années. D’une part pour la qualité de prestation qui nous est offerte et qui nous permet de vous fournir un service de tout premier ordre, et de l’autre pour l’image de marque et la confiance que ce groupe crée auprès des internautes. La gestion de cette crise Google/Symantec ne remet pas en question la confiance que nous avons dans ce partenaire, et dont l’accompagnement reste irréprochable.
Nous étions par ailleurs depuis quelques mois en relation avec Digicert pour étendre le portefeuille de nos solutions, nous accueillons l’annonce de ce rachat comme une nouvelle positive pour nos clients et partenaires, en étant confiant sur la continuité de service que nous pourrons vous proposer. Pour autant, la confiance que vous nous accordez est primordiale et si vous souhaitez avancer dans une autre direction, Nameshield reste à votre écoute pour vous proposer des alternatives.
N’oublions pas non plus que les pages concernées pour l’instant sont uniquement celles contenant des données à sécuriser (mot de passe, paiement en ligne), mais que la volonté des deux géants du web est de considérer à l’avenir toutes les pages en HTTP comme « Non Sécurisé », affiché en rouge.
Chrome 53 est arrivé le 31 août et avec lui Google continue de militer pour un internet plus sûr.
