Pour rappel, l'Autorité de Certification est un tiers de confiance permettant d'authentifier l'identité des correspondants. Une autorité de certification délivre des certificats décrivant des identités numériques et met à disposition les moyens de vérifier la validité des certificats qu'elle a fourni.
Au cours de ces dernières années, nous avons vu Google prendre de nombreuses mesures pour montrer son soutien aux sites utilisant le protocole HTTPS.
Ainsi, pour montrer sa préférence pour les sites sécurisés via HTTPS, Google a récemment décidé, non seulement de labelliser les sites en HTTPS comme étant sécurisés, il a aussi décidé de signaler les sites en HTTP, et donc non-HTTPS, comme étant des sites non sécurisés.
Et ce, dans la barre d’adresse du navigateur. De quoi faire réfléchir les webmasters. Et ce n’est pas tout.
Pour pouvoir fournir un trafic chiffré à ses utilisateurs, un propriétaire de site Web doit tout d'abord faire une demande de certificat auprès d'une autorité de certification de confiance. Ce certificat est ensuite présenté au navigateur afin d'authentifier le site auquel l'utilisateur essaie d'accéder.
Et, selon Google, à l'avenir, Chrome et d'autres navigateurs pourront refuser les certificats ne respectant pas ces critères.
C’est pourquoi, Google a aussi lancé Certificate Transparency (Transparence des certificats) pour encourager toutes les autorités de certification SSL à publier les certificats qu'elles émettent dans des journaux vérifiables publiquement, non modifiables autrement que par l'ajout de données en fin de fichier, et non falsifiables.
D’après lui, au cours des dernières années, en raison de failles structurelles dans le système de certification HTTPS, les certificats et les autorités de certification se sont révélés vulnérables aux attaques et à la manipulation. Le projet de transparence des certificats proposé par Google a pour but de sécuriser le processus d'émission des certificats, en fournissant un framework ouvert pour le contrôle et l'audit des certificats HTTPS.
Une nouvelle autorité de certification SSL
Google s’est jusqu’à maintenant appuyé sur une autorité de certification intermédiaire (Google Internet Authority G2 - GIAG2) émise par une tierce partie, dont les derniers fournisseurs étaient GlobalSign et GeoTrust, qui gèrent et déploient des certificats aux produits et services de Google. Mais ça, c’était avant.
Google vient en effet d’annoncer la création de sa propre autorité de certification SSL autonome appelée Google Trust Services, permettant à l’entreprise d’émettre ses propres certificats TLS/SSL pour sécuriser son trafic web via HTTPS, au lieu de dépendre de certificats tiers.
Ce qui est aussi en soi une bonne nouvelle pour les sites de sa plateforme Blogger ayant un nom de domaine propre qui vont pouvoir aussi bénéficier gratuitement d’un hébergement sécurisé via HTTPS. En effet, le protocole HTTPS n'est actuellement pas disponible pour les blogs de Blogger de domaines personnalisés.
Pour la simple raison que Google n’était pas encore sa propre autorité de certification pour pouvoir offrir gratuitement des certificats à tous les sites personnalisés sur Blogger. Au moment où Google s’apprête à signaler les sites non-HTTPS dans la barre d’adresse, il ne peut pas se permettre de pénaliser éternellement les sites de sa propre plateforme de blogs.
Bref, comme les autres autorités de certification SSL, Google Trust Services permet désormais de signer d’autres certificats subordonnés, et donc sous sa propre autorité, pour authentifier l’identité d’autres sites Web.
Cependant, le processus d’incorporation des autorités de certification racine en produits peut prendre du temps. Raison pour laquelle Google a acquis 2 Autorités de Certification Racine existants de GlobalSign : R2 et R4.
Ces acquisitions permettront à Google de délivrer plus tôt que prévu des certificats indépendants.
