Google a récemment accusé Symantec, l'une des plus importantes Autorités de Certification (CA), d'avoir violé la confiance des internautes lors de communications Web chiffrées. Dans sa publication dans Google Groups, le 23 mars 2017, l'ingénieur de Google Ryan Sleevi a déclaré que Symantec avait émis environ 30 000 certificats SSL depuis plusieurs années, sans respecter les standards de l’industrie. Dans un effort de renforcement de la sécurité des sites Web, Google a considérablement réduit sa confiance pour les certificats Symantec.
Au milieu de la guerre des certificats entre Google et Symantec, les organisations ne peuvent se permettre d'ignorer les avertissements de sécurité du navigateur, car un site Web affiché comme peu sécurisé dans Google Chrome réduira considérablement la confiance des clients.
Crise de confiance
Les certificats SSL constituent l'épine dorsale de la sécurité sur Internet, et les CA qui les émettent représentent le degré de confiance des utilisateurs dans la communication avec les sites. Google affirme avoir enquêté sur une série de certificats validés de manière incorrecte par Symantec depuis janvier, en découvrant à l'origine un ensemble de 127 certificats émis. Mais au cours de son enquête, le nombre de certificats délivrés sans respecter les standards a progressé à près de 30 000, certains datant de plusieurs années. C'est une allégation sérieuse qui mine complètement la confiance que les utilisateurs peuvent placer sur la navigation Web chiffrée.
Google a proposé de remédier à la situation en retirant peu à peu sa confiance envers les certificats délivrés par Symantec pendant au moins un an. Ils ont également déclaré que la période de validité acceptée pour tous les certificats de Symantec sera progressivement réduite à neuf mois.
Qu'est-ce que cela signifie pour votre organisation ?
Quelle que soit l'industrie dans laquelle vous vous trouvez, votre site Web est une interface qui représente votre organisation auprès des clients. Veiller à ce que les utilisateurs perçoivent votre site Web comme sécurisé est important pour la confiance de vos clients. Compte tenu des restrictions sévères de Google à l’encontre des certificats Symantec, les organisations doivent prendre les mesures appropriées pour remplacer leurs certificats Symantec vulnérables par de nouveaux certificats, afin d'éviter les avertissements de sécurité sur leur site Web.
Êtes-vous prêt à faire face aux problèmes de CA ?
Symantec a reconnu des manquements quant à l’émission de certains certificats et a proposé une série de mesures correctives après avoir répondu aux commentaires de ses clients sur les problèmes de compatibilité et d'interopérabilité qui pourraient résulter de la mise en œuvre de la proposition de Google. Dans le cadre de ces mesures correctives, Symantec effectuera des vérifications périodiques de ses certificats délivrés, permettra à des tiers de vérifier ses certificats et raccourcira la durée de validité de ses certificats à trois mois.
Toutes ces mesures exigent une automatisation du cycle de vie des certificats. Bien que les certificats SSL constituent le fondement de la sécurité des sites Web, la plupart des organisations n'ont pas l'agilité pour répondre à des problèmes de cette échelle.
Key Manager Plus vous aide à réagir facilement à ces problèmes liés aux CA en vous donnant une visibilité complète de votre environnement SSL.
Suivez ces trois étapes simples pour protéger votre organisation des problèmes liés aux certificats Symantec :
Filtrer tous les certificats Symantec :
Premièrement, vous devez analyser votre réseau et isoler tous les certificats Symantec. L'outil de découverte Key Manager Plus vous aide à trouver tous les certificats Symantec dans votre environnement, en les affichant tous dans une seule fenêtre.
Remplacer les anciens certificats :
Une fois que vous avez identifié tous les certificats Symantec, vous pouvez choisir d'échanger les anciens certificats Symantec avec de nouveaux certificats. Vous pouvez également demander de nouveaux certificats auprès d'autres autorités compétentes en utilisant l'outil de demande de certificat de Key Manager Plus.
Déployer de nouveaux certificats :
Une fois que vous avez obtenu des certificats de différentes autorités de certification, consolidez-les et déployez-les sur vos serveurs de domaine respectifs directement à partir du référentiel de certificats Key Manager Plus.