Blog GlobalSign

29 juil. 2016

Google formalise ses règles de transparence pour les certificats autres qu'à validation étendue

Google annonce avoir officiellement étendu ses règles de transparence applicables dans Chrome aux certificats SSL EV aux autres types de certificats SSL. Alors que Chrome applique la règle de transparence aux certificats SSL EV en n’affichant pas la barre verte, Google n’a pas encore communiqué de date ou de mécanismes d’application pour les certificats n’offrant pas la validation étendue (EV, Extended Validation). Google « procède lentement pour que les Autorités de Certification (AC), les opérateurs de listes, les moniteurs et les navigateurs aient suffisamment le temps d’apprendre à déployer et interagir avec la transparence de certificat d’une façon constructive et évolutive. »

Les autorités de certification et les opérateurs de sites Web doivent agir en amont pour éviter que le « scénario SHA-1 » ne se reproduise

Au vu des conséquences lors de précédents changements de règles dans les navigateurs, les opérateurs de sites Web et autorités de certification doivent anticiper et commencer à se conformer à la nouvelle règle le plus tôt possible. Le but : éviter que les clients ne soient impactés comme lors de la dépréciation de l’algorithme de hachage SHA-1. Comme vous vous en souvenez peut-être, si les émissions de certificats SHA-1 triannuels ont pu se poursuivre en 2015, certains navigateurs ont par la suite dégradé le traitement des certificats SHA-1 valides jusqu’au 31/12/2016, mettant les services de support client à rude épreuve. Ainsi, en cas de problème, les opérateurs de sites Web devaient :

  • remplacer les certificats SSL SHA-1 d’une durée de validité supérieure par des certificats qui expiraient à cette date (quitte à perdre de l’argent sur la période de validité déjà payée) ;
  • évoluer vers SHA-256 avant d’y être prêt et avant que cela ne soit absolument indispensable ;
  • ou continuer à utiliser le certificat SHA-1 et l’interface dégradée jusqu’à son expiration ou son remplacement.

Nous pouvons d’ores et déjà prévoir que ce sera la même chose avec les exigences de transparence de certificat applicables à tous les types de certificats. Il est peu probable que l’application de la règle ait prévu tous les cas de figure. On peut ainsi s’attendre à ce que les mécanismes d’application impactent le traitement de certificats SSL émis précédemment. Google définira une date de conformité et un ensemble de règles qui pérenniseront la conformité de certains des certificats émis précédemment. La conformité des certificats d’une durée de validité de 3 ans sans sceau d’horodatage de certificat signé est néanmoins très improbable. Le meilleur moyen de s’assurer que tous les certificats soient traités avec le niveau de confiance maximum est d’inclure le nombre requis de sceaux d’horodatage de certificat signé, notamment pour ceux d’une durée de validité supérieure à 1 an.

GlobalSign et la Transparence de Certificat

La Transparence de Certificat repose sur la RFC 6962 expérimentale de Google publiée il y a trois ans. Google est à ce jour le seul éditeur d’un navigateur avec une règle de transparence de certificat et un mécanisme d’application. L’application initiale du plan Google Chrome Extended Validation remonte à mai 2015. Lorsque Chrome rencontre un certificat SSL EV non conforme à la règle, la barre verte EV est supprimée. Pour être conforme, un certificat EV :

  • doit avoir été publié dans une liste de transparence de certificat Google avant le 31/12/2014 afin d’être mis sur liste blanche ;
  • doit inclure, s’il a été émis après le 31/12/2014, le nombre de sceaux d’horodatage de certificat signé fixé par la règle ;
  • ou Chrome doit avoir reçu le nombre indiqué de sceaux d’horodatage de certificat signé via la négociation TLS ou une réponse OCSP.

Pour soutenir la règle de transparence des certificats de Google, GlobalSign a mis sur liste blanche tous les certificats SSL EV applicables en 2014 et inclut depuis le 1/1/2015 les sceaux d’horodatage de certificat signé à ses certificats SSL EV. Même si nous autorisons nos entreprises clientes à se désengager de la transparence de certificat, elles ne sont que très peu à l’avoir fait.

Depuis plus d’un an, Google encourage les AC à inclure la transparence de certificat à tous leurs certificats SSL, incitant également les entreprises à instaurer des listes de transparence de certificats et à créer des outils pour surveiller ces listes. Le nombre de listes opérationnelles est passé à huit listes actives, dont trois listes Google et cinq listes d’autres opérateurs de listes — plusieurs listes étant en cours d’ajout ou de suppression.

Les projets de GlobalSign

Étant donné les anciens mécanismes d’application à effet rétroactif et leur impact sur les opérateurs de sites Web et les AC, GlobalSign inclura le nombre de sceaux d’horodatage de certificat signé spécifié dans la Règle Google sur la Transparence de Certificat à tous les certificats DV d’ici août 2016. Quant aux certificats OV, un ensemble d’options de transparence de certificats plus complet suivra dans la foulée.

Pour toute question, contactez-nous directement via notre site.

Partager ce blog