Imaginez un instant que votre site web soit soudainement inaccessible pour des millions d’internautes. C’est le scénario auquel de nombreux éditeurs de sites pourraient être confrontés suite à une récente décision de Google. En effet, le géant du web a annoncé qu’il cesserait d’approuver les certificats SSL/TLS délivrés par Entrust dès le 1er novembre 2024. Une nouvelle qui soulève de nombreuses questions sur la sécurité web et les impacts pour les éditeurs et utilisateurs. Décryptage.
Le rôle crucial des autorités de certification
Pour bien comprendre les enjeux, il faut d’abord revenir sur le rôle essentiel joué par les autorités de certification (AC) comme Entrust. Ces organismes sont chargés de délivrer les fameux certificats SSL/TLS qui permettent de sécuriser les échanges entre un navigateur web et un site. Lorsque vous visitez un site en HTTPS, c’est grâce à ces certificats que la confidentialité et l’intégrité de vos données sont assurées.
Les autorités de certification ont donc une lourde responsabilité. Elles doivent adhérer à des normes de sécurité strictes et s’assurer en permanence de la fiabilité des certificats délivrés. Toute faille ou manquement peut avoir des conséquences désastreuses en termes de sécurité et de confidentialité des données.
Les manquements d’Entrust pointés du doigt par Google
C’est justement en raison de plusieurs incidents de sécurité qu’Entrust se retrouve aujourd’hui dans le collimateur de Google. Le géant du web reproche notamment à l’autorité de certification :
- Des délais de révocation trop longs pour les certificats défaillants
- Une mise en conformité tardive avec les dernières normes de sécurité
- L’utilisation d’algorithmes de hachage trop faibles
Des manquements suffisamment graves aux yeux de Google pour prendre une décision radicale : le blocage pur et simple des certificats Entrust dans son navigateur Chrome.
Les conséquences pour les éditeurs de sites web
Si vous êtes éditeur de site web et que vous utilisez actuellement un certificat SSL Entrust, il va falloir réagir rapidement. Vous avez jusqu’au 1er novembre 2024 pour basculer vers une autre autorité de certification, sans quoi votre site sera considéré comme non sécurisé par Chrome.
Pour vérifier si vous êtes concerné, rien de plus simple. Il suffit d’ouvrir votre site dans Chrome, de cliquer sur le cadenas à gauche de l’URL, puis sur « Certificat ». Si le champ « Émis par » mentionne Entrust, il faudra penser à changer de fournisseur rapidement.
Une migration qui n’est pas anodine puisqu’elle implique de revoir toute la chaîne de certification de votre site. Un travail potentiellement long et complexe, surtout pour les grandes infrastructures web.
Les impacts pour les utilisateurs de Chrome
Du côté des internautes, le blocage des certificats Entrust par Google aura également des répercussions. À partir du 1er novembre, les utilisateurs de Chrome qui tenteront d’accéder à un site utilisant un certificat Entrust seront stoppés par un message d’avertissement.
Bien sûr, il sera toujours possible de forcer le passage en acceptant le risque. Mais on imagine aisément que de nombreux internautes préféreront faire demi-tour par précaution. Avec à la clé, une potentielle baisse de trafic et de conversion pour les sites concernés.
Des questions en suspens
Au-delà des impacts concrets pour les éditeurs et utilisateurs, la décision de Google soulève des questions plus larges. Sur la centralisation du web tout d’abord, puisque c’est bien le géant américain qui fixe seul les règles et peut décider du jour au lendemain de blacklister une autorité de certification.
La question de la responsabilité des autorités de certification et des contrôles dont elles font l’objet est également posée. Comment s’assurer qu’un tel scénario ne se reproduira pas à l’avenir avec d’autres acteurs ?
En conclusion
En sanctionnant Entrust pour ses manquements répétés, Google envoie un message fort aux autorités de certification. Mais c’est aussi tout l’écosystème web qui est impacté, des éditeurs aux utilisateurs finaux. Une décision qui ne sera certainement pas sans conséquence sur la confiance globale dans les certificats SSL.
La sécurité de Chrome et de ses utilisateurs est notre priorité absolue. Entrust n’a malheureusement pas été en mesure de répondre à nos attentes en termes de fiabilité.
– Ryan Sleevi, ingénieur chez Google
Une affaire à suivre de près donc, en espérant que les principaux acteurs sauront en tirer les leçons pour renforcer la sécurité globale du web. Car c’est bien la confiance des utilisateurs qui est en jeu.
