Remplacement de vos certificats Symantec SSL/TLS

Certificats Symantec, Thawte, GeoTrust et RapidSSL

Fin juillet 2017, Google Chrome a mis en place un programme visant à retirer progressivement de sa liste de confiance tous les certificats SSL/TLS émis par Symantec, Thawte, GeoTrust et RapidSSL. Ce retrait se traduit notamment par l’affichage de messages d’avertissement dans son navigateur Chrome. Le projet Google s’articule autour de trois grandes dates : le 1er décembre 2017, le 15 mars 2018 et le 13 septembre 2018. Aucune action n’était requise de votre part pour le 1er décembre 2017. En revanche, les deux échéances de 2018 représentent des dates butoirs de remplacement des certificats concernés. À défaut, ces certificats afficheront des messages d’avertissement dans Chrome. Lisez notre FAQ pour en savoir plus sur ces dates et le calendrier Google.

Nouvelle chaîne de confiance

DigiCert est désormais responsable de la validation et de l’émission de tous les certificats SSL/TLS Symantec Website Security, à savoir les certificats Symantec et ceux de ses AC affiliées (Thawte, GeoTrust et RapidSSL). Nouveaux ou remplacés, tous les certificats Website Security émis par DigiCert (à partir de l’une de nos racines approuvées) seront considérés comme fiables par Google Chrome.

Cette nouvelle chaîne DigiCert n’impacte en rien le niveau de confiance des navigateurs envers vos certificats actuels. Par ailleurs, elle établit dès à présent une garantie de confiance vis-à-vis de Google Chrome (et des autres navigateurs) pour l’émission de votre certificat de remplacement.

Étape 1 : Préparation du remplacement des certificats

Pour éviter l’affichage de messages d’avertissement dans Google Chrome, remplacez vos certificats SSL/TLS Website Security concernés avant le 15 mars 2018 ou le 13 septembre 2018 (selon la date d’émission de ces certificats). Prévoyez suffisamment de temps pour l’émission et l’installation des certificats.

Remplacement gratuit de vos certificats

DigiCert remplace tous vos certificats gratuitement. Inutile de changer de compte ou de plateforme. Vous pouvez continuer à utiliser votre compte Symantec actuel pour remplacer et commander vos certificats SSL/TLS.

15 mars 2018

Le 15 mars 2018, ou aux alentours de cette date, une version beta de Google Chrome affichera un message d’avertissement sur tous les sites sécurisés par des certificats SSL/TLS Symantec émis avant le 1er juin 2016. Le lancement officiel de cette version est prévu pour le 17 avril 2018.

Action : si votre certificat SSL/TLS a été émis avant le 1er juin 2016 et expire le 15 mars 2018 ou à une date ultérieure, veuillez le remplacer avant le 15 mars 2018.

Attention : n’attendez pas le mois de mars pour remplacer vos certificats. Les domaines et entités devront être validés avant que nous puissions réémettre ces certificats. N’oubliez pas non plus de prévoir suffisamment de temps pour installer le nouveau certificat, et ainsi éviter l’affichage de messages d’avertissement à l’encontre de votre site dans Google Chrome.

13 septembre 2018

Le 13 septembre 2018, ou aux alentours de cette date, une version beta de Google Chrome affichera un message d’avertissement sur tous les sites sécurisés par des certificats SSL/TLS Symantec émis après le 1er juin 2016. Le lancement officiel de cette version est prévu pour la mi-octobre 2018.

Action : si votre certificat SSL/TLS a été émis après le 1er juin 2016 (et avant le 1er décembre 2017) et expire le 13 septembre 2018 ou à une date ultérieure, veuillez le remplacer avant le 13 septembre 2018.

Attention : n’attendez pas le mois de septembre pour remplacer vos certificats. Les domaines et entités devront être validés avant que nous puissions réémettre ces certificats. N’oubliez pas non plus de prévoir suffisamment de temps pour installer le nouveau certificat, et ainsi éviter l’affichage de messages d’avertissement à l’encontre de votre site dans Google Chrome.

Étape 2 : Préparation des domaines et des entités

Pour satisfaire aux exigences de Google Chrome pour le remplacement des certificats SSL/TLS, DigiCert devra revalider/réauthentifier tous les domaines des certificats DV, OV et EV. De même, DigiCert devra revalider/réauthentifier les entités détentrices des certificats OV et EV dans la mesure du nécessaire.

En tout état de cause, nous validerons/authentifierons vos domaines et entités pour émettre vos certificats de remplacement. Vous pouvez toutefois accélérer la validation de vos domaines et entités en suivant les procédures ci-après :

  • Prouvez vos droits de contrôle sur un domaine (remplacement de tous les types de certificats)

    Avant que nous ne puissions émettre un certificat, vous devez prouver que vous détenez bien un droit de contrôle sur les domaines listés dans votre demande de remplacement. C’est ce que l’on appelle la validation du contrôle de domaine (DCV, Domain Control Validation). Par défaut, celle-ci s’effectue par e-mail.

    La procédure se déroule comme suit : DigiCert envoie un e-mail d’autorisation aux propriétaires déclarés des domaines listés dans un registre WHOIS public. Nous pouvons également envoyer l’e-mail d’autorisation à cinq adresses e-mails associées à chacun de ces domaines publics : admin@, administrateur@, webmaster@, hostmaster@ et postmaster@.

    Remarque : DigiCert n’envoie pas d’e-mail d’autorisation au demandeur du certificat ou à l’administrateur du compte.

    L’e-mail contient toutes les instructions nécessaires à la validation/authentification du domaine.

  • Répondez à l’appel de vérification/authentification (remplacement des certificats OV et EV)

    Pour valider/authentifier votre entité, DigiCert vous contactera sur un numéro de téléphone vérifié. Assurez-vous que l’un de vos collaborateurs soit prévenu de cet appel. Nous vous appelons généralement dans les 24 heures suivant la demande de remplacement du certificat.
  • Fournissez la dénomination sociale de votre entreprise (remplacement des certificats OV et EV)

    Pour valider/authentifier l’entité détentrice de votre certificat OV ou EV, veillez à fournir le nom de cette entité tel qu’inscrit au Registre du commerce et des sociétés. Si le nom fourni est incorrect, DigiCert vous le redemandera ultérieurement. Exemple : “MonEnt” est incorrect si le nom de l’entreprise inscrit au registre est “Mon Entreprise SA”.
  • Créez une présence en ligne (remplacement des certificats OV et EV)

    Lors de votre demande de certificats OV et EV, votre entreprise devra avoir établi une certaine présence en ligne (dénomination sociale, adresse et numéro de téléphone). Pour cela, vous pouvez la lister dans un annuaire professionnel tiers tel que Google My Business ou Dun & Bradstreet.

Étape 3 : Remplacement de votre certificat Symantec (ou certificat des AC affiliées à Symantec) :

Les instructions ci-après détaillent les étapes de remplacement des certificats. Pour plus d’infos, consultez les références ci-dessous.

  1. Connectez-vous à votre compte Symantec, Thawte, GeoTrust ou RapidSSL existant
  2. Localisez le(s) certificat(s) à remplacer
  3. Créez une requête de signature de certificat (CSR)
  4. Sélectionnez l’option de remplacement/réémission du certificat en question
  5. Envoyez votre requête de remplacement/réémission
  6. Une fois vos domaines et entités revalidés/réauthentifiés par Digicert (selon les exigences propres à chaque type de certificat), nous émettrons votre certificat de remplacement.
  7. Installez votre nouveau certificat SSL/TLS

Consignes de remplacement propres à chaque marque

Symantec™ Complete Website Security
Symantec Managed PKI for SSL
Symantec Trust Center
Symantec Trust Center Enterprise
Thawte Certificate Center (TCC)
Thawte Certificate Center Enterprise (TCCE)
GeoTrust Security Center (GSC)
GeoTrust Enterprise Security Center (GESC)
RapidSSL Security Center

Recommandation pour les certificats de 3 ans

Pour bénéficier de la durée de validité complète de vos certificats de 3 ans, nous vous conseillons de les remplacer avant le 1er mars 2018. À compter de cette date, les autorités de certification n’émettront plus de certificats OV et DV d’une durée de 3 ans. En effet, tous les certificats de remplacement OV et DV émis après le 28 février 2018 auront une durée de validité maximale de 825 jours, indépendamment du temps restant sur le certificat d’origine. (cf. Annonce – Réduction des périodes de validité maximales des certificats OV et DV.