SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
:
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


20161107 - Chrome renforce ses exigences de sécurité

Ces derniers mois, Google faisait plusieurs annonces concernant les nouvelles règles de sécurité à respecter sur son navigateur Chrome.

1 - Les formulaires

Google ne prend pas de chemin détourné et annonce une volonté nette de sécuriser les données personnelles des internautes. Comment ? En affichant une alerte de sécurité sur toutes les pages abritant un formulaire non sécurisées en HTTPS, c'est à dire une page qui ne chiffre pas les données envoyées vers le serveur.

Aujourd'hui Chrome (depuis la version 53), affiche un 'i' dans la barre d'adresse indiquant que la page affichée n'est pas en HTTPS.

Il s'agissait là d'une première étape pour assurer une transition plus douce puisqu'à partir de janvier 2017 les formulaires non sécurisés seront considérés comme dangereux.

Une version ultérieure du navigateur (non annoncée pour le moment) affichera non plus un 'i' mais un triangle rouge accompagné d'une alerte pour toutes les pages présentées en HTTP, pas seulement les formulaires.

2 - Le Certificate Transparency

Largement utilisé par Chrome depuis février 2015 notamment pour les certificats Extended Validation, le certificate transparency devrait être requis pour tous les types de certificats dans le courant de l'année 2017.

Rappel : Le Certificate Transparency impose la publication des informations de tout certificat SSL dans une base de données publique avant la livraison de ce dernier. Cette publication doit être faite par l'autorité de certification émettrice de manière automatique.

Un certificat non déclaré au Certificate transparency sera considéré comme dangereux sur Chrome à partir d'octobre 2017.

La plupart des autorités de certification inscrivent tous les certificats émis aux CT et les autres sont indexés directement par Google. Il est donc probable que votre certificat soit déjà enregistré aux CT

Comment m'assurer que mon certificat est bien inscrit ?

Le plus simple est d'utiliser le moteur de recherche mis en place par Sectigo : https://crt.sh, entrez le nom de votre site et assurez-vous que ce dernier est listé aux CT.

3 - La géolocalisation et autres apps API

Depuis la version 50 de Chrome, la géolocalisation via API nécessite un site sécurisé en HTTPS pour être fonctionnel.

Pourquoi ?

Encore une fois, Google met en avant la protection des données des internautes et leur géolocalisation en particulier estimant que ces informations sont particulièrement sensibles.

Conclusion

Toutes ces mesures mises en place par Google ne sont qu'une mise en bouche puisque la firme annonce des mesures similaires pour d'autres apps.

Il devient donc primordial, pour continuer d'exister sur un navigateur comme Chrome (détenant plus de 50% de parts de marché) de migrer, non pas uniquement les formulaires vers HTTPS, mais bien l'intégralité de vos sites. Nous vous recommandons d'appliquer les principes de Always-on-SSL dont le HSTS fait partie.

Comment savoir si vos sites sont prêts ?

Pour cela, utilisez l'outil mis à disposition par Google, Canary :

https://www.google.fr/chrome/browser/canary.html

Allez dans chrome://flags/#mark-non-secure-as et mettez le réglage à verbose

Allez dans chrome://flags/#security-chip et mettez de réglage à show non-secure only

vous pouvez testez vos sites.

Informations utiles