Google vient d’annoncer qu’elle ne reconnaîtrait plus les certificats issus par le CNNIC (China Network Information Center), l’organisation étatique en charge du registre des domaines en Chine, et notamment des noms de domaines au suffixe .cn et ceux écrits en chinois.

Concrètement, le navigateur Chrome et les autres produits de Google ne reconnaîtront pas les certificats SSL délivrés par le CNNIC et n’afficheront pas le cadenas à côté de l’hyperlien, qui est signe de connexion sécurisée. À la place, ils verront une fenêtre d’information affirmant que le site n’est pas sûr. L’utilisateur peut toutefois passer outre l’avertissement et naviguer sur le site.

Pour gérer certaines exceptions, Google a mis en place un système de liste blanche de domaines légitimes, que les utilisateurs peuvent décider d’utiliser ou non.

Cette mesure inédite fait suite à des atteintes graves à la sécurité par MCS Holdings, une autorité intermédiaire de certificats qui sous-traite des demandes du NCCIC.

Au lieu d’utiliser un module matériel de sécurité pour sauvegarder la clé privée, l’entreprise l’a installée dans un serveur proxy, ce qui permet de monter des attaques de l’homme du milieu. Pire encore, ils ont attribué à ce serveur l’autorité pleine et entière d’une autorité de certification publique, l’une des violations les plus sérieuses du système de certification.

MCS Holding affirme qu’il s’agit d’une erreur humaine, mais en tout état de cause elle s’est discréditée comme autorité de certification.

Tant que CNNIC ne supportera pas la transparence des certificats, un projet libre et public de Google qui pallie certaines vulnérabilités intrinsèques du système de certification SSL, Google ne reconnaîtra plus son autorité.

En dépit des louanges de Google sur la proactivité du CNNIC, les autorités chinoises n’ont pas apprécié cette mesure de sécurité et l’ont fait savoir par communiqué officiel :*

« La décision de Google est inacceptable et incompréhensible pour la CNNIC, qui l’exhorte sincèrement à prendre en considération les droits et les intérêts des utilisateurs. »

 

* Traductions : Le Diligent