SSL obsolète : des centaines de sites Français bloqués par Chrome 66 ?

Mi avril, Chrome va définitivement passer en version 66. En Mai, Firefox 60. Des versions qui risquent de mettre à mal des centaines de sites web en raison de certificats SSL obsolètes.

SSL obsolète ! Le 17 avril, Chrome 66 va devenir la version courante de Chrome. La navigateur rejettera les certificats SSL/TLS de Symantec, Thawte, Geotrust et RapidSSL. Des certificats émis avant le 1e juin 2016. Des centaines de sites francophones (la cour des comptes, l’autorité de la sûreté nucléaire, la ville de Grenoble, site de gestion de la carte Navigo …) utilisent encore ce type de certificats. « Depuis un mois, souligne à ZATAZ Frédéric Kayser, chercheur en sécurité informatique, j’observe l’évolution des certificats de milliers de sites et malheureusement ça n’évolue que très peu.« 

Le risque pour ces centaines de sites Français : être rejetés par le navigateur de Google.

A noter que la même situation apparaitra le 9 mai 2018 pour Firefox.

Mi octobre, l’ensemble des certificats obsolètes rejetés

Dès le 15 octobre, l’ensemble des autres certificats émis avant le 1er décembre 2017 … rejetés. Si vous souhaitez connaitre l’évolution de ces modification, il suffit d’utiliser Chrome 66 bêta (version Canary) ou Firefox 60 b (version Nightly). Comme le rappel le chercheur, Qualys SSL Labs propose un service en ligne gratuit SSL Server Test. Il analyse la configuration SSL d’un site. Il signalera les certificats problématiques : certificats intermédiaires superflus, présence inutile de la racine, ou d’autres paramètres liés aux suites de chiffrement…

Obtenir une note de A avec cet outil est réellement un objectif à viser de nos jours.