20170829 - Changement imminent des chaînes de certification pour le groupe Symantec
À partir du 1er décembre 2017 les certificats du groupe Symantec seront émis par une nouvelle PKI sur la base de nouvelles chaînes de certification.
Nous ne connaissons pas encore les détails concernant ces nouvelles chaînes de
certification (qui devraient permettre la certification croisée avec les racines actuelles)
cependant elles feront obligatoirement apparaître au moins un intermédiaire indépendant
de Symantec.
EDIT 20171120 : La nouvelle PKI utilisée par le groupe Symantec est désormais connue, elle s'appuie sur les racines de DigiCert. Contrairement à ce qui était envisagé, il n'y a pas de signature croisée avec les anciennes racines du groupe Symantec. Ceci implique que la reconnaissance par les navigateurs web va nécessairement changer…
Les nouvelles chaînes
Les certificats OV et DV au format RSA
Ils seront émis grâce à des intermédiaires liés à la racine DigiCert Global Root CA si vous restez en chaîne mixte (racine SHA1). Cette racine a été intégrée dans les navigateurs et systèmes d'exploitation en 2007, elle devrait être reconnue quasiment partout de nos jours.
Les certificats EV au format RSA
Ils seront émis grâce à des intermédiaires liés à la racine DigiCert High Assurance EV Root CA si vous restez en chaîne mixte (racine SHA1). Cette racine a été intégrée dans les navigateurs et systèmes d'exploitation en 2007, elle devrait être reconnue quasiment partout de nos jours.
Les certificats au format RSA en chaîne entièrement SHA2
Ils seront émis grâce à des intermédiaires liés à la racine DigiCert Global Root G2. Cette racine a été intégrée dans les navigateurs et systèmes d'exploitation en 2014, elle devrait être reconnue par tous les produits récents sauf Java (avril 2017).
Les certificats au format ECC en chaîne entièrement ECC
Ils seront émis grâce à des intermédiaires liés à la racine DigiCert Global Root G3. Cette racine a été intégrée dans les navigateurs et systèmes d'exploitation en 2014, elle devrait être reconnue par tous les produits récents sauf Java (avril 2016).
Pourquoi ce changement de chaîne ?
Il s'agit d'une des mesures imposées par Google à Symantec. Le changement de chaîne permettra de conserver la reconnaissance des certificats du groupe par les navigateurs Chrome et Firefox.
Que faire si vous souhaitez conserver votre chaîne actuelle ?
Il se peut que pour des raisons techniques vous ayez besoin de conserver vos certificats tels qu'ils vous ont été livrés. Dans ce cas, et pour conserver la chaîne actuelle un maximum de temps, voici quelques conseils :
Certificats existants
Rien. S'ils ne sont pas refabriqués, ces certificats resteront chaînés à leurs chaînes actuelles.
Certificats en période de renouvellement
Déposez vos demande de renouvellement avant le 15 novembre. Les certificats émis utiliseront les chaînes de certification actuellement en place.
Certificats entrant en phase de renouvellement après le 1er décembre 2017
Déposez une nouvelle commande (et non un renouvellement) avant le 15 novembre. Les certificats émis utiliseront les chaînes de certification actuellement en place.
Que faire si vous souhaitez utiliser les nouvelles chaînes ?
Pour l'instant rien. Les détenteurs de certificats concernés recevront un e-mail de notification lorsque la refabrication sera nécessaire afin d'éviter toute perte de compatibilité avec Chrome et Firefox.
Quelles conséquences sont à prévoir ?
Les certificats restant sur les chaînes de certification actuelles déclencheront des alertes de sécurité sur les navigateurs Chrome et Firefox et seront progressivement rejetés à partir de mars 2018, totalement fin 2018.
De même, toute refabrication de ces certificats lors de leur période de validité après le 1er décembre 2017, entraînera une modification de la chaîne de certification.
Quels sont les produits concernés ?
Tous les certificats serveur des autorités Symantec, Thawte et Geotrust.