Blog GlobalSign

14 août 2017

Derrière la sémantique de la vente de Symantec

Des clients et partenaires de la PKI Symantec encore plus dans le flou

DigiCert rachète l’activité de certification Web de Symantec et les solutions PKI associées... À cette annonce, mille questions m’ont assailli...

  • Comment le « pot de terre » (DigiCert) fait-il pour acquérir un si gros pot de fer ?
  • Quelle peut être la viabilité à long terme d’une entreprise qui investit plus d’un milliard de dollars US ?
  • DigiCert est-il en capacité d’intégrer une entreprise beaucoup plus grande que lui sans perturbations majeures ?
  • Comment DigiCert s’en sortira-t-il à l’approche du calendrier de déclassement de Google et Mozilla ?
  • Comment DigiCert émettra-t-il des certificats DV SSL (validation de domaine) pour les clients et partenaires Symantec alors que son catalogue de produits ne comporte aucun certificat DV ?
  • Comment la réémission et la revérification des certificats et domaines Symantec prévues au calendrier Google/Mozilla impacteront-elles l’infrastructure et les opérations de DigiCert ?
  • Google s’interroge : « Étant donné que DigiCert a racheté l’activité PKI de Symantec et que Symantec détient une participation importante dans le capital de DigiCert, comment peut-on penser que le choix de DigiCert comme AC managée partenaire répond à l’obligation d’indépendance et de non-affiliation ? »
  • Quelle est la stratégie de Thoma Bravo (principal investisseur de DigiCert) qui dirige cette acquisition ?

Ce ne sont que quelques-unes des questions qui me sont venues à l’esprit à l’annonce du rachat. Je pense que vous êtes nombreux, chers clients et partenaires de Symantec, à vous être fait les mêmes réflexions. Au fur et à mesure de mon exposé sur cette acquisition, je tenterai de répondre à ces questions.

Décryptage du rachat

Sous la pression de Google, Symantec a dû passer à l’action. L’entreprise n’avait en somme que peu d’options : soit elle passait un accord avec une AC gérée avant la date butoir du 1er décembre 2017, soit elle vendait sa business unit. Symantec a donc choisi de vendre et de passer le relais face au déclassement annoncé de ses certificats EV SSL EV par Google. D’après le communiqué de presse Symantec/DigiCert, voici ce qu’il en était :

  • DigiCert rachètera l’activité de certification Web de Symantec et les solutions PKI associées
  • Conformément aux termes de l’accord, Symantec recevra à l’achat environ 950 millions de dollars US en numéraire et une participation en actions ordinaires à hauteur de 30 % du capital de DigiCert à la clôture de la transaction.
  • Approuvée à l’unanimité par le Conseil d’administration de Symantec, la transaction devrait être achevée au troisième trimestre de l’exercice 2018, sous réserve que les conditions de clôture habituelles soient remplies.
  • Thoma Bravo est le fonds d’investissement privé qui soutient DigiCert depuis 2015.

Ce que l’on sait de Symantec, DigiCert et Thoma Bravo :

Les acquisitions de cette envergure ne peuvent se faire qu’à grand renfort de planification et d’analyses approfondies. Thoma Bravo a largement fait ses preuves dans la vente et le rachat d’entreprises. C’est une société dont le métier est de faire de l’argent. Dans ce domaine, le rachat d’Entrust et sa revente à Datacard est emblématique du savoir-faire de Thoma Bravo. Ce n’est que pure spéculation de ma part, mais je ne peux m’empêcher de me demander quelle est la stratégie de Thoma Bravo. Personne ne sait au juste ce que l’avenir réserve.

Et maintenant, que se passe-t-il avec Google et Mozilla ?

Rien ne change pour les certificats Symantec ; le calendrier de déclassement proposé par Google et Mozilla reste le même. Plus d’un million de certificats SSL et domaines Symantec doivent être revérifiés par une autorité de certification de taille beaucoup plus modeste. Les sites Web des clients de certificats Symantec SSL, risquent de subir des perturbations, ainsi que les personnes et services qui utilisent ces certificats.

1er décembre 2017 :

  • Symantec estime qu’à cette date, la nouvelle infrastructure d’émission de certificats du partenaire géré sera pleinement opérationnelle. Aucun certificat émis par l’ancienne infrastructure de Symantec après cette date ne fonctionnera avec les prochaines mises à jour de Chrome.
  • À partir de cette date, les exploitants de sites pourront obtenir des certificats TLS pour serveurs émis par la nouvelle infrastructure du partenaire managé. Ces certificats garderont la confiance de Chrome 70 et de ses versions ultérieures (sortie prévue aux alentours du 23 octobre 2018).
  • Aucun changement de certificat n’est imposé pour le 1er décembre 2017. La date offre simplement aux exploitants de sites l’occasion de se procurer des certificats TLS pour serveurs qui ne seront pas concernés par le déclassement de l’ancienne infrastructure sous Chrome 70.

15 mars 2018 :

  • Sous Chrome 66 (version bêta) les certificats émis par Symantec avant le 1er juin 2016 ne seront plus jugés fiables. À partir du 15 mars 2018, les exploitants de sites devront, pour maintenir la continuité de leurs opérations, utiliser un certificat TLS pour serveurs émis par Symantec après le 1er juin 2016, ou un certificat valide de n’importe quelle autre AC de confiance.
  • Les exploitants de sites ayant obtenu un certificat délivré par l’ancienne infrastructure Symantec après le 1er juin 2016 ne sont pas impactés par le déclassement sous Chrome 66, mais devront obtenir un nouveau certificat conformément au calendrier de Chrome 70.

17 avril 2018 (Sortie de Chrome 66) :

  • Chrome déclassera les certificats émis par Symantec avant le 1er juin 2016.

13 septembre 2018 :

  • Dès sa version bêta, Chrome 70 retirera sa confiance à l’ancienne infrastructure racine de Symantec. Aucun certificat émis par la ou les nouvelles AC managées ne sera impacté. Ces nouvelles AC seront, d’après Symantec, opérationnelles d’ici le 1er décembre 2017.
  • Seuls les certificats TLS pour serveurs émis par l’ancienne infrastructure Symantec seront impactés par ce déclassement, et ce quelle que soit leur date d’émission.

23 octobre 2018 (Sortie de Chrome 70) :

  • Chrome déclassera TOUS les certificats émis par l’ancienne infrastructure Symantec, y compris ceux émis après le 1er juin 2016.

Qui est touché ?

Symantec a visiblement le plus à gagner. L’entreprise s’est débarrassée d’une business unit en difficulté et d’une plateforme d’AC obsolète qui entachait sa réputation. En procédant ainsi, Symantec a récupéré la quasi-totalité des coûts engagés lors de l’acquisition initiale de VeriSign. Qui plus est, le cours de son action a rapidement grimpé après le rachat de DigiCert — stratégie astucieuse de la part de Symantec.

Pour les clients et partenaires pris en otages de ce débat sur la confiance entre Symantec et les navigateurs de Google/Mozilla, rien n’est clair... Sans compter qu’il leur faut suivre le calendrier de déclassement défini par Google et Mozilla. Pour cela, ils devront désormais s’en remettre à DigiCert, un nouveau fournisseur de certificats d’une taille beaucoup plus modeste. Problème : l’accord de rachat est encore tout frais. Il reste encore certains détails techniques à régler, des centaines de collaborateurs Symantec devront probablement rallier DigiCert, et il faut s’occuper d’intégrer l’infrastructure, les systèmes et les processus. Il y a donc beaucoup à faire, qui plus est dans des délais très courts, pour empêcher les interruptions d’activité pour les clients de certificats Symantec SSL et les partenaires.

Je suis certain que les clients et partenaires actuels de DigiCert ont également des questions. Dans ce contexte très mouvementé, DigiCert est-il en capacité d’assurer la prise en charge de ses clients et partenaires au niveau qu’ils sont en droit d’exiger ?

L’afflux massif de clients Symantec — évalué à plusieurs milliers d’entreprises clientes, soit plusieurs centaines de milliers de domaines — pourrait surcharger l’activité de DigiCert à l’heure où la nouvelle AC s’efforce de revérifier tous les domaines anciennement contrôlés par Symantec. Des retards sont à craindre dans les réponses du support, ainsi qu’un allongement des délais de vérification des certificats, des retards d’émissions et un relâchement général. Avec l’intégration des quatre marques Symantec, les offres de produits et services actuellement faites aux clients DigiCert pourraient connaître quelques changements.

Vos options ?

Tout d’abord, je tiens à dire que nous avons, chez GlobalSign, le plus grand respect pour DigiCert. Même si nous sommes concurrents, nous travaillons en étroite concertation au sein du CA/Browser Forum et du Conseil de sécurité des AC pour définir les bonnes pratiques, les normes et les réglementations applicables au secteur des autorités de certification.

En qualité de client et partenaire Symantec, deux choix s’offrent à vous : soit vous considérez que ce rachat peut fonctionner et que DigiCert veillera sur vos intérêts, soit vous envisagez de changer de fournisseur d’AC maintenant.

Voici le moment de vous présenter GlobalSign. GlobalSign est une autorité de certification leader structurée pour accompagner les entreprises. Notre plateforme Managed PKI très évolutive automatise entièrement l’émission de certificats vers n’importe quel terminal de l’entreprise (voir les détails ici). Elle gère également le cycle de vie complet des certificats et s’intègre facilement à vos processus IT et métiers.

En plus d’une réponse à vos besoins en certificats SSL/TLS, notre plateforme vous permet aussi de proposer des certificats clients adaptés à d’autres scénarios d’utilisation — authentification des utilisateurs et des appareils, e-mail sécurisé (S/MIME), sécurité des terminaux mobiles et signatures de documents en nombres. Le tout, à partir d’une seule et UNIQUE plateforme. Et ce n’est pas tout. Nous avons conçu cette plateforme pour être évolutive afin de faire face à la montée de l’Internet des Objets. À plus de 3 000 certificats à la seconde, aucune autre AC n’atteint nos volumes et nos vitesses d’émission.

Testez-nous pour voir ! Profitez de conditions très intéressantes que nous proposons actuellement. En plus de tarifs attractifs, nous offrons notamment 30 % de remise, le report du temps restant sur vos certificats SSL actuels vers vos nouveaux certificats GlobalSign, et 30 jours de validité supplémentaire — soit jusqu’à 27 mois maximum.

Changer d’AC vous semble compliqué ? Pour vous simplifier la tâche, nous avons mis en place une procédure en quatre étapes. Nos responsables de comptes attitrés et nos équipes support multilingues vous accompagnent tout au long de votre migration chez GlobalSign.

Nous sommes à votre entière disposition. N’attendez plus pour nous contacter !

par Lila Kee

Partager ce blog