Alors que Chrome prépare la mort de vieux certificats TLS émis par Symantec, ce dernier décide de revendre son autorité à DigiCert pour plusieurs centaines de millions de dollars. Le nouveau propriétaire devra redonner confiance aux navigateurs dans l'ancienne branche de Symantec, accusé de nombreux dysfonctionnements sur plusieurs années.
Symantec n'a plus à se soucier de ses certificats. À l'occasion de ses derniers résultats trimestriels, l'éditeur de solutions de sécurité a annoncé revendre son autorité de certification, que Google compte sortir progressivement de Chrome dans les prochains mois.
L'heureux acquéreur s'appelle Thoma Bravo, derrière DigiCert, un autre mastodonte des certificats TLS pour sites web, surtout utilisés pour garantir la confidentialité des connexions en HTTPS. Tout le système se fonde sur ces sociétés, qui émettent des milliers (voire millions) de certificats, avec la garantie d'une validation rigoureuse, permettant aux navigateurs de s'appuyer sur eux... et de révoquer la confiance dans un acteur précis s'il émet trop de « tampons » litigieux.
DigiCert doit donc acquérir l'autorité de Symantec d'ici la fin de l'année, pour 950 millions de dollars et 30 % de ses actions ordinaires. L'entreprise aura fort à faire pour reconquérir la confiance des éditeurs de navigateurs, en premier lieu Google, qui a commencé son travail de dépréciation d'une large part des certificats émis par Symantec. Un sujet que ce dernier a évité de mentionner dans sa communication.
D'ici octobre 2018, ménage des certificats dans Chrome
Depuis juin et jusqu'en octobre 2018, Google Chrome se débarrasse de la confiance donnée à Symantec. Depuis le début d'année, le torchon brûle entre les deux entreprises, l'autorité affirmant avoir agi rapidement face aux problèmes relevés, dont elle conteste le nombre (en reconnaissant avoir fourni 2 500 validations à des sites inexistants). Google continue de marteler que la société a fourni à tour de bras son assentiment et n'a pas fait les contrôles que doit mener une telle autorité, notamment sur les informations affichées dans les navigateurs.
Une sanction au sein de Chrome, qui représenterait plus de la moitié des pages web vues dans le monde, est un couperet terrible. Le plan actuel du groupe est de retirer la confiance donnée aux anciens certificats Symantec. Entre Chrome 59 (sorti en juin) et Chrome 64 (prévu début 2018), chaque nouvelle version raccourcit de trois mois la durée de validité de chaque certificat visé, pour tomber à neuf mois.
À partir de Chrome 66 (avril 2018), tous les tampons apposés avant juin 2016 n'auront plus la confiance du navigateur. La version 70, prévue pour octobre, entérinera la destitution de l'ancienne autorité. La démarche est soutenue par Mozilla, qui a longuement listé tous les problèmes rencontrés avec Symantec, depuis 2009. Ils vont de questions techniques à la fourniture de certificats de test sur son infrastructure publique.
De son côté, l'autorité déclarait à la mi-juillet mettre en place une nouvelle infrastructure de validation au 1er décembre 2017, sur laquelle doivent migrer tous les clients pour continuer d'être considérés comme bons par Chrome. Sans cela, l'internaute verra la classique page d'avertissement, indiquant que la connexion au site concerné n'est pas sûr. De quoi détourner la majorité d'entre eux.
Regagner la confiance des navigateurs
Une autorité de certification ne vaut que pour la confiance qu'ont les logiciels (dont les navigateurs) dans ses certificats. Un traitement trop lâche des émissions est donc le meilleur moyen de la perdre. C'est la leçon que reçoit Symantec qui, même s'il nie l'ampleur du problème, a tenté ces derniers mois de maintenir ses relations avec des acteurs qui peuvent décider facilement de l'avenir de son activité.
La revente à DigiCert est donc une manière de faire table rase du passé, en s'appuyant sur une entreprise qui a encore la confiance du secteur. « Nous sommes confiants dans le fait que cet accord comblera les besoins de la communauté des navigateurs. DigiCert discute de cette opération et de ses intentions avec les éditeurs et continuera son étroite collaboration avec eux jusqu'à la clôture de la transaction » déclare DigiCert dans son communiqué... Quand Symantec évite soigneusement le sujet dans le sien.
Des questions restent tout de même en suspens, comme la transition des vieux certificats vers DigiCert, l'avenir de la nouvelle plateforme de l'autorité (qui pourrait simplement être celle du nouveau propriétaire, le calendrier convenant) ou encore les garanties concrètes que l'acquéreur compte apporter aux éditeurs de navigateurs. La réponse dans les prochains mois.
