Mercredi 4 avril 2018
(Traduction d'un article extrait du blog Google sur la sécurité)
Comme annoncé précédemment, nous envisageons l'abandon, pour Chrome, de l'autorité de certification Symantec (y compris les marques détenues par Symantec telles que Thawte, VeriSign, Equifax, GeoTrust et RapidSSL). Dans cet article, les opérateurs de sites pourront déterminer s'ils sont concernés par cet abandon et, si oui, les mesures qu'ils doivent prendre et à quel moment. Si ces certificats ne sont pas remplacés, les sites concernés ne seront plus fonctionnels dans les prochaines versions des principaux navigateurs, notamment Chrome.
Chrome 66
Si votre site utilise un certificat SSL/TLS de Symantec émis avant le 1er juin 2016, il cessera de fonctionner dans Chrome 66, ce qui pourrait déjà avoir un impact sur vos utilisateurs.
Si vous n'êtes pas sûr que votre site utilise un tel certificat, vous pouvez prévisualiser ces modifications dans Chrome Canary pour le vérifier. Si la connexion à votre site affiche une erreur de certificat ou un avertissement dans DevTools comme indiqué ci-dessous, vous devez remplacer votre certificat. Vous pouvez obtenir un nouveau certificat auprès de n'importe quelle autorité de certification de confiance, y compris auprès de Digicert, qui a récemment acquis l'activité d'autorité de certification de Symantec.
Chrome 66 est déjà disponible dans Canary et dans les versions en développement, ce qui signifie que les utilisateurs de ces versions de Chrome sont déjà affectés par ce problème de certificats. Si les certificats des sites concernés ne sont pas remplacés avant le 15 mars 2018, les utilisateurs de la version bêta de Chrome commenceront également à rencontrer des problèmes. Nous vous encourageons fortement à remplacer votre certificat dès que possible si votre site affiche actuellement une erreur dans Chrome Canary.
Chrome 70
À compter de la version Chrome 70, tous les certificats SSL/TLS de Symantec restants cesseront de fonctionner, ce qui entraînera une erreur de certificat semblable à celle illustrée ci-dessus. Pour savoir si votre certificat est concerné, consultez dès aujourd'hui votre site dans Chrome et ouvrez DevTools. Un message dans la console vous indiquera si vous devez le remplacer.
Si ce message s'affiche dans DevTools, vous devez remplacer votre certificat dès que possible. Si les certificats ne sont pas remplacés, les utilisateurs commenceront à voir des erreurs de certificat sur votre site dès le 20 juillet 2018. La première version bêta de Chrome 70 sera disponible aux alentours du 13 septembre 2018.
Calendrier prévisionnel des versions de Chrome
Le tableau ci-dessous indique, pour Chrome 66 et Chrome 70, les dates de publication de la première version de Canary, de la première version bêta et de la version stable. Le premier impact des problèmes de certificats sur les utilisateurs coïncidera avec la date de publication de la première version de Canary. L'audience concernée augmentera de manière constante jusqu'à la version bêta, puis jusqu'à la version stable. Nous encourageons vivement les opérateurs de sites à apporter les modifications nécessaires à leurs sites avant la publication de la première version de Canary de Chrome 66 et de Chrome 70, et, au plus tard, à la date de disponibilité de la version bêta correspondante.
Version | Première version de Canary | Première version bêta | Version stable |
Chrome 66 | 20 janvier 2018 | ~ 15 mars 2018 | ~ 17 avril 2018 |
Chrome 70 | ~ 20 juillet 2018 | ~ 13 septembre 2018 | ~ 16 octobre 2018 |
Pour en savoir plus sur les dates de disponibilité d'une version de Chrome en particulier, vous pouvez également consulter le calendrier de développement Chromium, mis à jour en fonction d'éventuels changements de dates.
Afin de répondre aux besoins de certains utilisateurs professionnels, Chrome mettra également en œuvre une stratégie d'entreprise permettant de désactiver, dès la version Chrome 66, la désapprobation de l'ancienne PKI de Symantec. À compter du 1er janvier 2019, cette stratégie ne sera plus disponible et l'ancienne PKI de Symantec sera désapprouvée pour tous les utilisateurs.
Mention particulière : Chrome 65
Comme indiqué dans l'annonce précédente, les certificats SSL/TLS de l'ancienne infrastructure PKI de Symantec et émis après le 1er décembre 2017 ne sont plus approuvés. La plupart des opérateurs de sites ne devraient pas être concernés, car l'obtention de ces certificats nécessite la conclusion d'un accord particulier avec DigiCert. À partir de Chrome 65, l'accès à un site utilisant un tel certificat échouera et la demande d'accès sera bloquée. Pour éviter ces erreurs, assurez-vous que ces certificats ne sont utilisés que sur d'anciens appareils et non sur des navigateurs tels que Chrome.