SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


20170324 - Qu'en est-il de la reconnaissance des certificats du Groupe Symantec par Google et son navigateur Chrome ?

À la surprise générale, le 23 mars dernier, Google a annoncé un projet de restriction de support des certificats émis par le groupe Symantec (incluant donc les certificats émis par Symantec, Thawte, Geotrust et RapidSSL) dans son navigateur web « Google Chrome ».

Le projet consisterait à progressivement restreindre la durée de vie des certificats du groupe à 9 mois forçant ainsi la revalidation des certificats. Google avait au mois de janvier 2017 déposé un projet de résolution au CAB forum pour drastiquement limiter la durée de vie de tous les certificats ; cette résolution avait été rejetée mais Google avait menacé de l’appliquer unilatéralement.

Google a également émis l'hypothèse de supprimer le traitement EV (barre verte) des produits Symantec. Cela s'inscrit dans la volonté de Google de supprimer la différenciation de l'affichage EV dans son navigateur.

Symantec conteste ces propositions et assure que les justifications de ces propositions sont erronées. Les discussions entre Symantec et Google se poursuivent. Le processus de décision « blink » de Chromium est transparent et 3 managers du projet doivent se prononcer « pour » afin de le valider.

Symantec tient à rassurer ses clients sur son engagement à voir ses produits reconnus par les navigateurs. Et rajoute qu'en cas de décision défavorable de Google, Symantec permettra la refabrication des certificats correspondant à la durée maximale imposée.

TBS Internet subit la situation et l'a suivie avec attention pour fournir à ses clients les solutions les plus rapides et efficaces. Dans ce cadre, nous avons posté nos recommandations ainsi qu'un calendrier précis des actions a mener.



EDIT 20181022 - Chrome 70 est arrivé cependant la dépréciation des certificats émis sur les anciennes racines Symantec se fera progressivement. Les nouvelles alertes atteindront un petit pourcentage d'utilisateurs de Chrome 70 initialement, puis atteindront lentement 100% des utilisateurs sur plusieurs semaines. Cela laisse encore une marge de manoeuvre de quelques semaines aux personnes n'ayant pas refabriqué leurs certificats. Consulter l'article de Google à ce sujet.

texte barré : mesures finalement abandonnées



20170522 - Une nouvelle mouture du projet est en cours

Après avoir étudié les nombreux retours suscités par l'annonce présentée ci-dessus, Google revient avec une nouvelle ligne de conduite concernant les certificats de la famille Symantec. Ces nouvelles mesures viennent en remplacement des précédentes.

Ce qu'il faut retenir : La réduction de la durée de validité à 9 mois est abandonnée.

Les nouvelles mesures

  • La modernisation de la plateforme et de la PKI dédiée à l'émission des certificats SSL de Symantec (processus déjà enclenché par l'autorité)

  • En attendant que la PKI soit opérationnelle, Symantec devra faire appel à une Autorité de Certification externalisée pour émettre ses certificats (audit et production seront donc externalisés)

  • Un système de certification croisée pourra être mis en place entre Symantec et la CA externalisée

  • La CA externalisée pourra émettre des certificats EV

  • La durée de validité des certificats pourra atteindre le maximum autorisé par les normes en cours (39 mois aujourd'hui, puis 27 mois à partir de mars 2018) à la condition qu'ils soient revalidés par la CA externalisée. Pendant la période transitoire la CA externalisée pourra réutiliser des données de validation si elles n'ont pas plus de 13 mois.

  • Les certificats émis après le 1er juin 2016 resteront valides dans la mesure qu'ils auront été publiés au Certificate Transparency. Les certificat EV émis après cette date continueront de bénéficier du traitement EV sur le navigateur.

  • Les certificat émis avant le 1er juin 2016 seront progressivement dépréciés par Chrome.

20170728 - Symantec et Google s'accordent sur un planning

Les deux parties ont finalisé un calendrier pour le remplacement de tous les certificats existants qui devront être réémis sur une nouvelle plateforme. Il manque encore de nombreux détails que nous vous communiquerons mi-aout. Les clients concernés par une refabrication recevrons un email individuel en temps voulu (= aucune action n'est nécessaire pour le moment).

Le calendrier

  • mars 2018 : à la sortie de Chrome 66, les certificats Symantec devront avoir été émis après le 1er juin 2016 pour être reconnus. Nous inviterons les clients concernés à refabriquer sur la nouvelle plateforme quand elle sera disponible.

  • septembre 2018 : à la sortie de Chrome 70, les certificats Symantec devront avoir été émis sur la nouvelle plateforme pour être reconnus. Nous inviterons les clients concernés à refabriquer sur la nouvelle plateforme quand elle sera disponible.

Consultez notre article à ce sujet.

Nos recommandations

Suivez cette page pour obtenir les instructions, sachant que nous vous recontacterons pas email si une action est nécessaire.

Le calendrier

  • mars 2018 : à la sortie de Chrome 66, les certificats Symantec devront avoir été émis après le 1er juin 2016 pour être reconnus. Nous inviterons les clients concernés à refabriquer sur la nouvelle plateforme quand elle sera disponible.

  • septembre 2018 : à la sortie de Chrome 70, les certificats Symantec devront avoir été émis sur la nouvelle plateforme pour être reconnus. Nous inviterons les clients concernés à refabriquer sur la nouvelle plateforme quand elle sera disponible.

Apple en passe de dé-référencer les racines Symantec à son tour

Apple annonce aussi la fin imminente de la reconnaissance des certificats Symantec émis sur les anciennes racines du groupe.

Le calendrier

  • 1er août 2018 : les outils Apple cesseront de reconnaître les certificats émis avant le 1er juin 2016. Concernant les certificats émis entre le 1er juin 2016 et le 1er décembre 2017, seuls ceux inscrits aux CT (Certificate Transparency) continueront d'être reconnus.

  • automne 2018 : tous les certificats émis sur l'anicenne PKI Symantec cesseront d'être reconnus.

Liens utiles