Google Chrome cessera de charger des sites avec HTTPS qui utilisent d’anciens certificats Symantec. Il existe environ un millier de domaines, y compris en France, qui activeront un message d’erreur dans le navigateur. La version 70 doit être publiée le 16 octobre.
Le chercheur en sécurité Scott Helme a analysé un million de sites parmi les plus consultés sur Internet, selon le classement d’Alexa, et a trouvé 1 139 domaines avec des certificats que Chrome considérera comme non valables. Ils ont eu plus d’un an pour se préparer.
En France, cela comprend des sites tels que Assine Globo (pour s’abonner aux magazines de l’éditeur), Bagaggio (vente de sacs et sacs à dos), VR Benefícios et GreenCard (bons d’alimentation et de repas). Lors de l’ouverture des outils de développement, Chrome avertit : “le certificat SSL utilisé pour charger les ressources [du domaine] ne sera plus fiable sur M70. En conséquence, les utilisateurs ne pourront pas charger ces ressources”.
Et dans les versions bêta de Chrome 70, vous tombez sur un message d’erreur et NET::ERR_CERT_SYMANTEC_LEGACY. Le navigateur indique également que “les avertissements peuvent être fréquents pendant que les sites mettent à jour la sécurité. Cela devrait s’améliorer bientôt”.
La liste a été établie le 24 septembre. Depuis lors, certains sites français utilisant encore d’anciens certificats ont été mis à jour. En d’autres termes, vous ne trouverez pas de problèmes dans Consumer.gov.br, White Eagle (vente de tickets de bus), Planet DeAgostini (société de collection) et Fabrics on the Internet.
Google ne fait pas confiance à certains certificats de Symantec
Google accuse Symantec d’émettre des certificats HTTPS trompeurs et erronés, et a cessé de leur faire confiance l’année dernière. Il s’agit de certificats délivrés par Symantec avant juin 2016, notamment Legacy Thawte, VeriSign, Equifax, GeoTrust et RapidSSL.
Le certificat HTTPS crypte les données entre votre ordinateur et le site web auquel vous accédez, ce qui empêche toute interception. Il est délivré par une autorité de certification, qui peut être bloquée par les navigateurs si votre confiance est violée ? c’est ce qui s’est passé avec Symantec.
Ces sites en France n’ont pas encore mis à jour leur certificat HTTPS :
cadastro.uol.comaseglobo.combagaggio.comtheglobe.comschulz.comvr.comgrupogreencard.compsycho.com
Ces sites ont été certifiés invalides par Symantec, mais ils ont déjà été mis à jour :
the.gov.br consumer.comaccesstage.comaguiabranca.complanetadeagostini.comtheglobe.comgov.br accesstage.com
L’analyse de Helme mentionne également le domaine nikon.com, mais il n’a même pas de certification HTTPS, étant marqué comme “Unsafe” par Chrome. La société japonaise a cessé ses activités en France après un plan de restructuration global.
