Google a récemment annoncé un changement important concernant la sécurité des utilisateurs de Chrome : à partir du 31 octobre 2024, les certificats TLS/SSL émis par l’autorité de certification Entrust ne seront plus approuvés par défaut. Cette mesure, prise après de nombreux incidents signalés, vise à renforcer la fiabilité des connexions sur le navigateur. Découvrez les raisons et impacts de cette décision pour les utilisateurs et les éditeurs de sites web.
Les raisons derrière la décision de Google
La décision de Google de rompre ses liens avec Entrust découle de plusieurs incidents de sécurité survenus entre mars et mai 2024. Mozilla a publié une liste détaillant ces incidents, soulignant des problèmes comme des délais de révocation trop longs pour les certificats défaillants et une mise en conformité tardive avec les dernières normes de sécurité. Ces failles répétées ont mené Google à conclure que la collaboration avec Entrust présentait plus de risques que de bénéfices pour les utilisateurs.
Les autorités de certification jouent un rôle clé en garantissant l’authenticité et l’intégrité des connexions chiffrées de bout en bout entre les navigateurs et les sites web. En raison de l’importance de cette responsabilité, Google exige des normes de sécurité élevées et une réactivité exemplaire de la part de ses partenaires. Entrust n’ayant pas répondu à ces attentes, Google a décidé de mettre fin à une collaboration de 6 ans.
Les effets sur les sites web et leurs éditeurs
Les éditeurs de sites web ont 4 mois pour se préparer à ce changement, et éventuellement changer de fournisseur de certificat SSL. À partir du 31 octobre, les versions 127 et ultérieures de Chrome désactiveront l’approbation automatique des certificats TLS/SSL délivrés par Entrust. Les entreprises du web doivent donc se tourner vers d’autres autorités de certification pour éviter des interruptions de service et maintenir la confiance des utilisateurs.
Google a rappelé que la visionneuse de certificats Chrome permet aux éditeurs de vérifier si leurs certificats sont concernés. Cette mesure vise à minimiser l’impact négatif sur le trafic des sites et à assurer une transition fluide vers de nouveaux certificats conformes aux standards de sécurité exigés.
Quel impact pour les utilisateurs de Chrome qui visiteront un site web certifié par Entrust ?
Pour les internautes, les conséquences de cette décision se traduiront principalement par des alertes de sécurité lors de la navigation sur des sites n’ayant pas changé d’autorité de certification. À partir du 1er novembre 2024, les utilisateurs de Chrome qui visiteront ces sites verront un message d’avertissement indiquant que leur connexion n’est pas privée. Ils auront toutefois la possibilité de valider manuellement les certificats Entrust via les Paramètres avancés, bien que cette action soit à leurs risques et périls.
Il faut garder à l’esprit que la cryptographie, et les processus de certifications SSL / TLS ont pour but de protéger les données transitant entre le navigateur internet de l’utilisateur et les serveurs de sites web.Cette mesure vise à renforcer la sécurité globale des utilisateurs de Chrome en s’assurant que seules les autorités de certification les plus fiables puissent valider les connexions chiffrées.