Symantec n'a pas respecté les régles de certification SSL

Symantec

Symantec mise en cause

Google et Mozilla ont attrapé Symantec

Une grosse boulette

####

Chrome se méfie désormais de tous les certificats SSL de Symantec. A partir d’octobre 2018, Symantec devra reconstruire toute son infrastructure d’émission de certificats à partir de zéro si elle veut rester dans le CA (Certificate Authority).

Il s’agit de la décision finale dans une enquête sur les pratiques d’émission SSL simplifiées de Symantec démarrées par les ingénieurs Google et Mozilla.

Les chercheurs ont découvert l’année dernière que Symantec a brisé les règles de l’industrie convenues par le forum CA / B, l’autorité qui régit les procédures de délivrance des certificats SSL utilisés pour supporter le trafic chiffré HTTPS. Symantec a été sanctionné pour avoir vendu plus de 30 000 via GeoTrust et Thawte.

Symantec a nié la responsabilité de tous actes répréhensible, qualifiant les résultats de Google et Mozilla de «exagérés et trompeurs».

Pourtant, l’entreprise a du reconnaîtreet est finalement venu à la table de négociation. Google et Symantec ont obtenu ce qu’ils voulaient

Le résultat est compliqué, mais il permet aux deux parties de réclamer la victoire. Google peut dire qu’il a interdit Symantec, tandis que Symantec peut continuer à délivrer des certificats SSL sous son nom.

Voici une ventilation de ce qui se passera au cours des prochains mois. Phase One - Symantec devient une SubCA

1er décembre 2017 - Symantec sera partenaire d’une autre autorité de certification qui émettra des certificats SSL au nom de Symantec. Symantec sera effectivement, en termes techniques, une autorité de certification subordonnée SubCA.

Google a proposé cette mesure ce printemps, Symantec l’a reconnu en juin et l’a approuvé à la mi-juillet.

Cette étape est cruciale dans la survie de Symantec en tant qu’autorité de certification valide car elle lui permettra de faire des affaires et d’émettre de nouveaux certificats SSL dans un proche avenir, en gardant ses clients.

Google et d’autres fournisseurs de navigateurs espèrent qu’en déchargeant le processus d’émission de SSL sur l’infrastructure d’une CA subordonnée, cela empêchera Symantec de briser les règles et d’émettre des certificats pour les sites non autorisés.

Il est fort probable que Symantec se sorte de ce faux pas en vendant son activité SSL pour très cher.

Les propriétaires de sites Web et les autres développeurs utilisant les certificats SSL de Symantec dans leur application devront contacter Symantec pour un nouveau certificat SSL délivré via le partenaire de SubCA ou contacter un autre fournisseur de CA. Les certificats des filliales de Symantec, GeoTrust, Thawte et RapidSSL sont également affecté.