Blog GlobalSign

19 janv. 2018

2017, l’année de tous les changements pour les autorités de certification

Rachats, nouvelles exigences et disruption du marché

Pour les autorités de certification (AC), l’année n’aura pas été de tout repos ! Elles ont en effet entamé 2017 comme date butoir avec le 1er janvier qui marquait la fin de la prise en charge de l’algorithme SHA-1, entraînant une nécessaire migration vers SHA-2. Puis, lors du scrutin 193, le CA/Browser Forum a voté la réduction de la période de validité maximale des certificats SSL/TLS à deux ans. Enfin, tout au long de l’année, le marché de la certification a connu des bouleversements sans précédent. Mais revenons sans plus tarder sur cette année plus que mouvementée.

Rachats

Cette année, le marché des AC a été le théâtre de deux gros rachats d’entreprises leaders, Symantec et Comodo. Récemment, Entrust Datacard a également racheté Trustis Limited, un fournisseur britannique de services managés spécialisé dans les infrastructures PKI et les solutions de gestion du chiffrement.

Rachat des AC Symantec par DigiCert

Au mois d’août, Symantec a donc choisi de vendre ses activités de certification. Avec l’aide de Thoma Bravo, un fonds de capital-investissement, DigiCert a racheté la branche d’activité de Symantec pour près de 950 millions de dollars. Dans un autre billet de ce blog, intitulé « Derrière la sémantique du rachat de Symantec », nous avons soulevé de nombreuses questions. Entre autres, nous nous sommes demandé comment une entreprise de la taille de DigiCert pouvait intégrer une branche d’activité bien plus grande à ses opérations. En outre, l’acquisition n’annulait en rien les délais prévus pour la fin de support fixés par Google et Mozilla. Pour rappel, voici la chronologie annoncée, dont la première échéance est intervenue début décembre:

  • 1er décembre 2017 : Symantec devra confier l’émission de tout nouveau certificat à l’infrastructure DigiCert. La fiabilité de tous les certificats émis depuis l’ancienne infrastructure après cette date ne sera pas reconnue.
  • 15 mars 2018 : La version 66 Bêta de Google Chrome ne reconnaîtra pas les certificats Symantec émis avant le 1er janvier 2016. La version stable de Chrome 66 est prévue pour le 17 avril 2018.
  • 13 septembre 2018 : La version stable de Chrome 70 est prévue pour le 23 octobre 2018.

Vente de l’activité SSL de Comodo

Les rumeurs de vente disaient vrai. Comodo a finalement cédé son activité SSL au fonds de capital-investissement Francisco Partners le 31 octobre 2017. Les conditions de l’opération n’ont toutefois pas été dévoilées. Ces dernières années, Comodo a su gagner d’importantes parts du marché des certificats SSL. Au vu des difficultés de Symantec, Francisco Partners a donc sauté sur l’occasion. Pour le moment, la division désormais autonome opérera sous la marque Comodo. Mais des changements sont à prévoir en 2018. Nous ne manquerons d’ailleurs pas de vous tenir informés !

Disparition de WoSign/StartCom

Il y a plus d’un an, Google et Mozilla ont lancé une enquête sur les émissions de certificats de WoSign. Cette enquête a alors révélé les pratiques douteuses de WoSign et de sa filiale, StartCom. Au vu du manque de conformité de ces AC, Google a annoncé en juillet la fin de la prise en charge de leurs certificats.

Enfin, il y a quelques semaines, le 17 novembre 2017, StartCom mettait la clé sous la porte. Les certificats StartCom et WoSign ont alors rejoint les listes noires des principaux éditeurs de navigateurs Mozilla, Apple, Google et Microsoft.

Phishing : la mauvaise pêche de Comodo et Let’s Encrypt

Le service de certificats SSL gratuits de Let’s Encrypt et l’engouement pour le chiffrement intégral ont braqué les projecteurs sur le travail des AC. Certaines comme Comodo, sont devenues mal à l’aise et ont même commencé à offrir, elles aussi, des certificats de validation de domaine (DV) gratuits. Seul problème, ces certificats DV gratuits ont ouvert un boulevard pour les sites malveillants en quête de légitimité. Ainsi, d’après le rapport de Netcraft et le graphique ci-dessous, Comodo et Let’s Encrypt ont tous deux émis des milliers de certificats pour des sites de phishing.

Certificates issued by publicly-trusted CAs that have been used on phishing sites.

Certificats émis par des AC publiques de confiance et utilisés sur des sites de phishing. Vous trouverez une version dynamique et interactive de ce graphique sur la page de Netcraft (Phishiest Certificate Authorities).

Fin du support de SHA-1 et nouvelles normes du CA/B Forum

Si la fin de la prise en charge de l’algorithme de chiffrement SHA-1 était annoncée depuis des années, la date fatidique du 1er janvier 2017 est enfin arrivée. GlobalSign avait commencé à notifier ses clients dès 2014 pour qu’ils puissent opérer une transition aussi fluide que possible vers les certificats SHA-2. Si vous n’avez pas migré vers l’algorithme SHA-2 avant 2017, vous avez probablement rencontré des messages d’erreur puisque SHA-1 n’est plus reconnu.

En avril, lors du scrutin 193, CA/B Forum a voté en faveur de la modification de ses exigences de base, soit une réduction de la période de validité maximale des certificats SSL/TLS à deux ans. Bien que cette décision n’entre pas en vigueur avant le 1er mars 2018, elle concerne toutes les AC et tous les types de certificats SSL/TLS.

La raison d’un tel changement ? En raccourcissant d’un an la durée de vie des certificats, le CA/B Forum contribue à réduire la présence de certificats plus anciens, obsolètes et potentiellement vulnérables, émis avant la mise en place de nouvelles règles.

De son côté, GlobalSign s’est montrée proactive : elle a cessé l’émission de certificats d’une durée de 3 ans le 20 avril 2017.

Sanctions de Google et Mozilla à l’égard de Symantec

C’est en mars qu’est peut-être survenue la plus grosse révélation de l’année. Les foudres de Google et Mozilla se sont alors abattues sur Symantec, coupable de maintes violations, y compris l’émission non conforme de 30 000 certificats HTTPS.

À l’époque, Google a pris des mesures drastiques, notamment la suspension de prise en charge et le retrait de sa confiance aux certificats Symantec pendant une période de 9 mois. Symantec faisant partie des leaders du marché SSL, ces sanctions allaient nuire à la sécurité et à la réputation de centaines de milliers de serveurs et sites web. Pire encore, l’AC comptait de nombreuses grandes entreprises des secteurs de la finance et de la santé parmi ses clients.

Tandis que Symantec continuait de négocier ces sanctions avec Google et Mozilla, les deux navigateurs leaders n’en démordaient pas. Symantec pouvait au choix accepter les sanctions, chercher d’autres AC (AC managées) pour l’aider à remplacer les certificats de ses clients avant le 1er décembre 2017 ou finalement vendre son activité de certification SSL. Comme nous l’avons vu plus haut, c’est d’ailleurs cette dernière option que l’entreprise a choisie.

Quelle année !

Reste maintenant à découvrir ce que 2018 nous réserve. D’autres révélations et rebondissements ? Nous ne tarderons pas à le savoir. Les mois à venir ne manqueront sans aucun doute pas d’intérêt puisque les deux principaux rachats de 2017 soulèvent encore bien des questions. Autre certitude : GlobalSign abordera sa 22ème année sur le marché mondial des AC. De fait, la plus ancienne autorité de certification du secteur continuera d’innover afin de répondre aux besoins de sécurité des entreprises et de l’IoT. Pour partager vos prévisions 2018, n’hésitez pas à laisser un commentaire.

Partager ce blog