Google Chrome réduit sa confiance dans les certificats TLS de Symantec

De Chrome 59, prévu en juin, à Chrome 64, Google veut réduire peu à peu la durée de validité des certificats actuels de Symantec. La raison : l'autorité aurait fourni de très nombreux certificats sans réellement les contrôler, donnant trop facilement sa confiance. Des mesures que conteste Symantec, qui affirme avoir agi rapidement sur le sujet.

Google lance une bataille à ciel ouvert avec Symantec. Dans un sujet sur Google Groups, daté du 23 mars, l'entreprise annonce des mesures de rétorsion contre l'autorité de certification, accusée d'avoir fournie des certificats TLS à tours de bras pendant des années, sans respecter les standards minimaux de Chrome. L'entreprise veut donc réduire sa confiance dans les certificats actuels, tout en contraignant l'autorité à de meilleurs standards à l'avenir.

Pour cela, l'entreprise exploite son Blink Process, lié au moteur de rendu Blink (le dérivé de Webkit conçu par Google), qu'elle dit ne pas avoir utilisé jusqu'ici pour les questions de certificats.

Pour rappel, le chiffrement d'un site web (en TLS) se fonde sur des certificats, qui sont délivrés et contrôlés par des autorités, elles-mêmes considérées de confiance par les navigateurs. Les certificats de Symantec, l'un des principaux acteurs du secteur, sont donc vus comme fiables par l'ensemble des navigateurs. Pourtant, affirme Google, l'entreprise aurait abusé de cette confiance.

Symantec accusé d'être trop peu regardant

Le géant de la recherche compte donc réduire graduellement la durée de validité des certificats de Symantec dans Chrome, et obliger l'autorité à les renouveler rapidement. Google n'accorde plus qu'une confiance relative à l'entreprise, qui doit revoir ses méthodes pour revenir dans ses bons papiers, alors que Chrome est l'un des navigateurs les plus utilisés actuellement.

Qu'est-il reproché exactement à Symantec ? L'équipe de Google Chrome enquête depuis le 19 janvier sur des manquements de l'autorité de certification, qui aurait une politique trop lâche sur la validation. L'instruction, concernant d'abord 127 certificats, a été étendue à plus de 30 000 d'entre eux, certains datant de plusieurs années. Dans le même temps, l'autorité est accusée de ne pas avoir répondu à temps aux enquêteurs de Google.

Fin 2015, Symantec avait reconnu avoir fourni près de 2 500 certificats pour des noms de domaine inexistants, après signalement de Google. 23 certificats de test avaient par ailleurs été fournis pour des adresses liées à Google et Opera, sans que les sociétés ne soient mises au courant.

Des certificats avec une validité maximale de neuf mois

Google annonce qu'il compte retirer peu à peu sa confiance aux certificats validés par Symantec, avec une durée de validité réduite toutes les six semaines avec chaque nouvelle version du navigateur. Avec Chrome 59, censé arriver en version stable en juin, la validité des certificats concernés passera à 33 mois. Chrome 60 enchainera à 27 mois, Chrome 61 à 21 mois, Chrome 62 à 15 mois, puis les versions de développement et bêta de Chrome 63 à 9 mois. La version stable de Chrome 63 conservera tout de même la validité à 15 mois, avant que la durée de 9 mois ne soit entérinée avec la version finale de Chrome 64, début 2018.

L'étape finale est donc de passer à neuf mois de validité, en évitant de le passer dès la version finale de Chrome 63, qui atterrira en plein hiver ; à un moment où les organisations gèlent les modifications sur leurs infrastructures. Chrome 64, début 2018, abattra donc le couperet pour tous les utilisateurs du navigateur. Google affirme aussi que le changement prévu entre Chrome 59 et 60 devrait avoir « un effet minimal », vu qu'une part des certificats concernés s'appuie de toute manière sur l'algorithme SHA-1, déjà obsolète.

Le groupe précise qu'à partir de Chrome 61, les nouveaux certificats devront également ne pas avoir de période de validité supérieure à neuf mois pour être acceptés par le navigateur. « De quoi assurer que le risque de toute future erreur d'émission est, au mieux, contenu à neuf mois » estime-t-il.

Le propriétaire d'un certificat Symantec bientôt masqué

Symantec est aussi accusé à un autre niveau. Il « ne s'est pas assuré que les informations des organisations, affichées dans la barre d'adresses, atteignent bien le niveau de qualité de tels certificats et la validation nécessaire à un tel affichage » attaque encore Mountain View.

Pour mémoire, il s'agit d'une validation supplémentaire, proposée par les autorités de certification, qui vérifient manuellement si l'organisation qui émet le certificat est bien celle qu'elle prétend être. Il s'agit d'une procédure payante, logiquement contraignante, qui ne le serait pas assez chez Symantec au goût de Google. Le groupe propose donc de ne plus l'afficher pour cette autorité, jusqu'à ce qu'elle mette sa procédure en ordre.

Google reconnaît que ces mesures posent « des risques de compatibilité peu anodins », justifiant entre autres la limitation graduelle de la durée de validité. La société dit ne pas connaître les mesures que peuvent envisager Apple et Microsoft pour Safari et Edge. Mozilla ne semble pas encore avoir envisagé le sujet dans ses discussions publiques.

Symantec récuse les accusations de Google

Dans un billet de blog publié le 24 mars, Symantec répond vertement à l'annonce de Google. « Cette mesure est inattendue, et nous pensons que ce billet de blog est irresponsable. Nous espérons qu'il ne s'agit pas d'une tentative de déstabilisation de la confiance de la communauté Internet dans nos certificats » déclare la société, qui dit soutenir son autorité.

Elle indique que seuls 127 certificats ont bien été identifiés comme délivrés à tort, et non 30 000, « sans conséquence pour les internautes ». Elle affirme par ailleurs avoir pris des mesures immédiates les concernant, avec un contrôle renforcé de la fourniture de nouveaux certificats. De même, les manquements constatés concerneraient plusieurs autorités (non nommées), alors que Google ne cible publiquement que Symantec. Bien entendu, l'entreprise est « ouverte au dialogue » avec l'éditeur de Chrome.