Google est désormais une autorité de certification root. La firme indique dans un billet de blog que cette bascule est cruciale dans la reconnaissance de « l’importance fondamentale » du HTTPS. Les utilisateurs ne devraient sentir aucune différence.
Google était depuis longtemps une autorité subordonnée de certification (GIAG2). L’éditeur était donc un intermédiaire dans la chaine de sécurité, mais la confiance apportée à ses certificats dépendait de certificats racine d’autres prestataires. Pour des questions pratiques et gagner du temps, Google est désormais sa propre autorité de certification racine, ou root.
Une transition invisible pour l'utilisateur
Comme l’indique l’éditeur dans un billet de blog, le certificat racine va permettre à l’entreprise de diffuser plus rapidement et efficacement le HTTPS dans l’ensemble de ses produits : « Il est évident que le HTTPS continuera à être une technologie fondamentale. C’est pourquoi nous avons décidé d’étendre nos efforts sur l’autorité de certification pour y inclure notre propre autorité racine ».
Un mouvement qui aura plusieurs conséquences, mais pas pour les utilisateurs, pour qui la transition devrait être invisible. Les certificats déjà utilisés par Google continueront d’être utilisés en l’état jusqu’à leur date d’expiration. L’arrivée des certificats émanant de cette autorité se fera graduellement, soit pour de nouveaux produits, soit en remplacement progressif des anciens.
Les développeurs passeront par les Google Trust Services
Pour les développeurs par contre, cela signifiera l’inclusion à court ou moyen terme des nouveaux certificats racine de Google. On parle bien évidemment ici de ceux qui bâtissent des services et applications qui interagiraient avec ceux de la firme. Elle lance d’ailleurs pour gérer ces demandes les Google Trust Services, nouvelle entité qui traitera de ces questions pour tout ce qui touche à Google ou Alphabet.
La société note cependant que l’intégration des certificats racine dans les produits peut prendre du temps, de même que l’attente des versions associées à ces produits. Pour simplifier cette transition, Google a donc racheté deux autorités de certification racine, à savoir GlobalSign R2 et R4. Elles vont permettre de commencer à gérer plus vite des certificats. Notez que parallèlement, tout ce qui touche à l’autorité intermédiaire GIAG2 continuera de fonctionner sans modification.
Tous les œufs dans le même panier ?
On peut toutefois se demander si ce dernier mouvement de Google ne revient pas à mettre tous ses œufs dans le même panier. Dans la chaine qui relie l’internaute à un service web, la firme dispose en effet d’une très forte intégration verticale. Google est en effet en capacité d’offrir désormais un certificat racine, l’infrastructure pour les sites web, les domaines, les DNS, la connexion (Google Fiber aux États-Unis), le navigateur et le système d’exploitation.
Les développeurs qui souhaitent intégrer les nouveaux certificats racine pourront donc le faire depuis les Google Trust Services. Ces certificats permettent pour rappel de confirmer l’authenticité d’un site web et d’établir des connexions SSL/TLS. Une initiative logique quand on sait que Google vient de commencer (tout comme Mozilla d'ailleurs) une transition dans Chrome en marquant les connexions comme non sécurisées sur les sites ne disposant pas du HTTPS.
Commentaires (48)
#1
“Google est en effet en capacité d’offrir désormais un certificat racine, l’infrastructure pour les sites web, les domaines, les DNS, la connexion (Google Fiber aux États-Unis), le navigateur et le système d’exploitation”
Manque plus que le CTOS
#2
Je pense m’acheter un cerveau Google, comme ça je suis bien compatible avec l’ensemble de la chaîne. 
" />
#3
Quelle bonne nouvelle !
" />
 http://linkszeitung.de/nsa_diagramm.png
#4
ça ne sera pas pire que symantec qui file des certificats https illégitimes
#5
#6
#7
#8
Google est en effet en capacité d’offrir désormais un certificat racine, l’infrastructure pour les sites web, les domaines, les DNS, la connexion (Google Fiber aux États-Unis), le navigateur et le système d’exploitation.
Ca fait beaucoupA l’utilisateur de faire attention…
#9
Sans oublier le contenu vu dans le système d’exploitation ;)
Pour l’instant, ça ne choque pas parce qu’on peut prendre juste un bout de la chaîne en allant voir ailleurs pour le reste.
Je pense qu’il faut veiller à ce qu’il n’y ait pas abus de position dominante pour que Google ne force pas la main des utilisateurs à être Full Google.
#10
[Troll in] On veut juste que vous nous fassiez pleinement confiance, après tout, google est ton ami non ? [/troll out]
#11
#12
Est ce qu’il y a beaucoup d’entreprises qui gèrent les certificats racines ?
Parce que si google y prend une position prédominante, les cas root sont cuites.
#13
Dans la chaine qui relie l’internaute à un service web, la firme dispose en effet d’une très forte intégration verticale. Google est en effet en capacité d’offrir désormais un certificat racine, l’infrastructure pour les sites web, les domaines, les DNS, la connexion (Google Fiber aux États-Unis), le navigateur et le système d’exploitation.
Ouais… ils sont joyeusement en train de monter un Google Net… Combien de temps avant qu’ils fassent sécession ?
#14
#15
#16
Voila qui n’est pas rassurant quand on connait la capacité de malfaisance de cette société !
#17
Mozilla va y réfléchir à 2 fois avant de révoquer des certificats racines qui rendrait impossible l’accès à l’ensemble des services de Google.
Tu imagines l’internaute lambda n’arrive plus à accéder à la page de Google (internet pour lui quoi) à partir de Firefox mais il y arrive sur Edge, Chrome ou Safari, devine la suite ??
#18
Peux-tu donner des éléments concrets ?
#19
#20
#21
On va bien voir si les erreurs avec les certificats Let’sEncrypt se multiplient ou cessent…
" />
#22
[dredi]
De toutes façons, dès que DNSSEC est entièrement mise en place dans le monde, d’ici le mois prochain, DANE est mis en place partout et on oublie ce problème
[/dredi]
#23
C’est sur. Cela dit ce serait une affaire importante et google (et autres) devraient vite reagir pour changer leur certificat racine. En tout cas il me parait improbable que mozilla garde les certifs racine sans broncher. D’autant que chrome et edge/IE devraient reagir egalement s’ils veulent rester credible.
Ce serait un sacre bordel avec des decisions difficiles a prendre.
#24
Évidement ça tombe un vendredi
" />
#25
Y a que moi que ça gène, de les voir juge et partie ?
C’est les fournisseurs de navigateurs qui décident quelles autorités de certifications sont valides (pour les ajouter quand elles sont jugés clean, et les virer quand elles font de la merde, ça arrive quasi tous les ans). Maintenant la navigateur qui a la majorité absolu des utilisateurs sur le marché devient autorités de certification.
Si elle fait de la merde, qui les virera ? Les navigateurs minoritaires, au risque de voir leur utilisateurs partir vers le navigateur qui est déjà en voit d’acquérir un monopole vu l’évolution des parts de marché ? Car sérieusement, quand un utilisateur aura un problème avec un site, et que toutes ses connaissances sous Chrome n’auront pas ce problème, il passera juste sur Chrome sans aller voir la RFC pour comprendre le problème…
Ca me dérange pas que Google soit un géant, mais certaines limites doivent être respecté. On peut pas avoir le beurre, et l’argent du beurre… Ce genre de comportement met à mal la sécurité d’internet, l’ICANN, la FTC ou que sais-je d’autres ne vont pas réagir ?
#26
#27
#28
Microsoft en a rêvé…
Google l’a fait…
#29
#30
Résister… ??? Article intéressant.
Est-ce la seul face de Google? Bien sur que non. Toutefois depuis le rachat de Boston Dynamics (qui est bien plus discret aujourd’hui) le coté militaire (donc gouvernemental) n’était plus à ignorer dans la stratégie de Google et dans l’analyse qu’on peut en faire.
Les premières video il y a à peu près 5 ans faisait l’effet suivant. “whoa de robots qui courent”. Puis “comme quoi on peut faire de l’embarqué qui fonctionne”. Et enfin; “Ca pourrait faire des armes”…
Tout gouvernement serait complétement fou ou stupide de l’ignorer. Malheureusement c’est mettre le doigt dans un engrenage. Un cocktail qui finira par être dangereux. Trop de concentration n’est jamais bon.
#31
#32
#33
Nous sommes d’accord alors
" />
Edit: Ou piratage par une entite exterieure (slave?) qui veut faire du mal, ou erreur humain etc. Meme les plus grosses entites ne peuvent echapper aux fuites.
#34
#35
Bravo, maintenant ils peuvent faire du MITM sur tous les sites qu’ils veulent mettre en cache pour “améliorer la vitesse” sur mobile par exemple.
#36
Si seulement…
" />
Seulement aucun des GAFA ne pousse DNSSEC par exemple (Google milite pour la transparence des certifs X.509…)
[dredi mais pas que]
Parfois j’ai l’impression que certains acteurs du Net font tout pour préserver la rente des AC (tout en gueulant contre la rente des autres)
[/dredi mais pas que]
#37
Une société qui scanne tes données sans ton accord, qui vole les identifiants WIFI en profitant de Google street view, qui collabore avec la NSA, qui abuse de position dominante pour promouvoir ses propres services, etc. etc. etc.
C’est sur elle est la pour faire le bien !
#38
#39
#40
Je dirai que non. BD même le disent sur leur propre site…
 http://www.bostondynamics.com/bd_about.html
Permière phrase : “Boston Dynamics is wholly owned subsidiary of Google, Inc.”
et éventuellement :https://en.wikipedia.org/wiki/Boston_Dynamics
Ils veulent le vendre (annonce du 17 Mars 2016) mais cela ne veut pas dire grand chose. On peut acheter des boite les vider des brevets (ou s’en faire droit) et revendre. Ce ne serait pas nouveau. Loin de là.
Il ne faut pas réduire mon propos au seul cas de Boston Dynamics, c’est maladroit pour le moins. Je rejoins Bejarid sur la “concentration” également.
#41
SI déjà des navigateurs comme Firefox avait un début de prise en charge de DNSSEC/DANE
Après cela poserait des problèmes aux sites web qui utilisent des CDN avec un flux HTTPS.
#42
Y a une extension pour Firefox mais par contre, le ticket ouvert dans BugZilla risque de le rester longtemps.
Le problème est double je pense : les gros acteurs ne déploient pas DNSSEC sur leur domaine, ce qui n’incite pas les dévs à ajouter les fonctions dans leur soft.
Et comme les soft n’ont pas les fonctions,… Sans compter les réfractaires à la chose (arguant des problèmes de la chose. Certains sont réels, d’autres sont bidons et du coup, ça préfère coller des rustine à X.509)
EDIT : ça bougera peut-être si les nouveau TLD (les .pizza, .apple et cie) commencent à être massivement utilisés : l’ICANN exige DNSSEC pour ces domaines de têtes
#43
D’un coté, on veut bien utiliser Google tout les jours mais on n’a pas assez confiance pour en faire une autorité de certification.
Et de l’autre on fait une confiance aveugle à une autorité de certification comme Let’s Encrypt qui est sponsorisé par Google, Cisco, facebook, …
Normal.
#44
ou peut t on trouver ces certificats sur google chrome pour voir s’ils sont a jours ?
#45
nan mais si tu essaies d’être cohérent de bout en bout aussi…
" />
#46
#47
Ça va c’est vite fait de forcer l’installation du plugin qui permet de forcer des certificats sur Firefox et thunderbird, et si tu fais le MITM directement sur le poste client il y a moyen d’injecter ça de force de façon transparente (Kaspersky, ESET le font, probablement les autres grands aussi)
#48
Est-il possible, avec un outil simple, de limiter certaines autorités de certifications a certains domaines?
Par exemple, si je ne veux pas accepter des certificats pourhttps://yahoo.com qui auraient été signes par google/(ou par une entite turque par exemple)?