S'applique aux navigateurs Chrome et appareils Chrome OS gérés.
Les certificats Symantec® émis avant décembre 2017 ne sont progressivement plus acceptés à compter de la version 66 de Chrome (navigateur Chrome et Chrome OS). L'ensemble des certificats Symantec ne seront plus acceptés à partir de la version 70 de Chrome (navigateur et Chrome OS). Sont concernés par ce changement tous les certificats délivrés par des marques Symantec (GeoTrust®, Equifax®, Thawte®, RapidSSL® ou VeriSign®), ainsi que par des revendeurs Symantex.
Les personnes qui consultent un site Web faisant appel à un certificat Symantec non approuvé peuvent voir un message d'erreur. D'autre part, les sites qui utilisent des ressources (JavaScript ou feuilles de style CSS, par exemple) fournies par un hôte qui utilise un certificat Symantec peuvent ne plus fonctionner correctement.
Les certificats bloqués dépendent de leur date de création ainsi que de la version de Chrome.
| Version de Chrome | Comportement par défaut (blocage) |
|---|---|
| De Chrome 66 à Chrome 69 | Les certificats émis par Symantec après le 01/12/2017 et avant le 01/06/2016 ne sont plus reconnus. En revanche, tous les certificats émis entre ces deux dates sont autorisés. |
| De Chrome 70 à Chrome 73 | Plus aucun certificat émis par Symantec n'est reconnu. |
Préparer la migration
Évaluez le déploiement à effectuer pour déterminer la solution la plus adaptée à votre entreprise. Cliquez ci-dessous pour connaître la procédure à suivre selon l'utilisation que vous faites des certificats.
Mon entreprise utilise des certificats SymantecSur certains anciens appareils, notamment les terminaux de point de vente, les systèmes téléphoniques, ainsi que d'autres types de matériel intégré, seuls les certificats Symantec fonctionnent. Si vous détenez de tels appareils, veuillez demander au fournisseur d'assurer la compatibilité avec d'autres autorités de certification.
Si vos appareils ne peuvent pas être mis à jour immédiatement et qu'ils utilisent les mêmes serveurs Web que vos utilisateurs Chrome, vous pouvez activer la compatibilité temporaire des certificats Symantec jusqu'à leur remplacement ou leur mise à jour. Si vous êtes concerné, veuillez contacter le représentant DigiCert qui gère votre compte Symantec pour mettre en place un plan de transition vers une nouvelle autorité de certification.
Si votre entreprise fait appel à un site partenaire qui utilise des certificats Symantec, veuillez contacter l'administrateur de ce site Web pour connaître son calendrier de remplacement des certificats. Le changement de certificat doit se faire immédiatement pour éviter toute perturbation dans le fonctionnement de votre entreprise.
Si la mise à jour ne peut pas être faite immédiatement sur le site partenaire, vous pouvez, dans l'attente, activer la compatibilité temporaire des certificats Symantec.
Activer la compatibilité temporaire des certificats Symantec
Si vous avez besoin de plus de temps pour effectuer la transition des certificats Symantec vers d'autres certificats, vous pouvez définir une règle relative aux utilisateurs de façon à assurer temporairement la compatibilité avec les anciens certificats Symantec. Cette règle fonctionne jusqu'à la version 73 de Chrome. Au-delà de cette version, la règle ne sera plus appliquée et tous les certificats Symantec seront bloqués sur le navigateur Chrome comme dans Chrome OS.
Avant de commencer- Cette règle est compatible jusqu'à la version 73 de Chrome OS. Toutefois, la compatibilité des certificats Symantec pourrait ne plus être assurée sur d'autres systèmes d'exploitation (Windows, Linux ou macOS, par exemple) avant la sortie de Chrome 73. Si vos utilisateurs exécutent le navigateur Chrome sur un système d'exploitation non compatible avec les certificats Symantec, l'activation de cette règle n'aura aucun effet et les certificats ne seront pas approuvés.
- L'activation de cette règle n'est qu'une solution temporaire destinée à vous laisser le temps de trouver une solution permanente. Planifiez vos migrations de façon à ce que vos utilisateurs puissent accéder aux pages Web dont ils ont absolument besoin au cours de cette transition.
- Avant de déployer cette règle dans l'ensemble de votre organisation, testez-la pour vous assurer que vos utilisateurs ont toujours accès aux sites dont ils ont besoin.
- Cette règle permet aux sites Web de continuer à utiliser d'anciens certificats sans que leurs visiteurs ne reçoivent d'alerte ni de message. L'activation de cette règle peut empêcher le recensement des serveurs et des sites qui font appel à d'anciens certificats. Pendant la phase de transition, testez régulièrement l'accès aux sites et aux services en désactivant cette règle pour faire le point sur ceux qui nécessitent une mise à jour.
Ces instructions s'appliquent en cas d'utilisation d'un navigateur Chrome sur un appareil Chrome OS.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu
Appareils
Chrome
Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu
Navigateur Chrome
- (Facultatif) Pour appliquer les paramètres à une organisation, procédez comme suit :
- Sur la gauche, sélectionnez l'organisation de votre choix.
- Assurez-vous que le paramètre Navigateur Chrome géré est activé pour cette organisation.
En savoir plus sur la structure organisationnelle.
- Accédez à Sécurité.
- Cliquez sur Certificats d'ancres de confiance locales.
- Dans l'ancienne infrastructure PKI de Symantec Corporation, sélectionnez l'une des options suivantes :
- Autoriser : les anciens certificats émis par Symantec sont considérés comme des certificats de confiance.
- Bloquer : les anciens certificats émis par Symantec sont bloqués. Ce paramètre applique le comportement par défaut de Chrome OS. Les certificats bloqués dépendent de la version de Chrome OS et de la date de création des certificats. Consultez ce tableau pour plus d'informations.
- Cliquez sur Enregistrer.
La prise en compte des nouveaux paramètres ne prend généralement que quelques minutes, mais leur application à l'ensemble des utilisateurs demande parfois jusqu'à une heure.
Ces instructions s'appliquent en cas d'utilisation du navigateur Chrome sous Windows.
Utilisation des règles de groupe
Avant de commencer : Configurer les règles Chrome (Windows)
Sur votre ordinateur Windows- Ouvrez la console de gestion des stratégies de groupe.
- Accédez à Configuration utilisateur
Stratégies
- Cliquez sur Faire confiance à l'ancienne infrastructure PKI de Symantec Corporation.
- Sélectionnez Activé.
- Cliquez sur OK.
StratégiesCes instructions s'appliquent en cas d'utilisation du navigateur Chrome sous macOS.
Avant de commencer : Configurer les règles Chrome (macOS)
Dans votre profil de configuration Chrome, ajoutez ou mettez à jour la clé ci-dessous. Appliquez ensuite le changement sur les appareils des utilisateurs.
-
Définissez la clé EnableSymantecLegacyInfrastructure sur true :
<key>EnableSymantecLegacyInfrastructure</key>
<true/>
Ces instructions s'appliquent en cas d'utilisation du navigateur Chrome sous Linux.
Dans l'éditeur de fichiers JSON de votre choix :
- Accédez au dossier /etc/opt/chrome/policies/dossier géré.
- Créez un fichier JSON ou ouvrez-en un qui existe déjà.
- Modifiez le fichier en ajoutant le code suivant :
{
"EnableSymantecLegacyInfrastructure": "true"
} - Déployez la mise à jour sur les appareils de vos utilisateurs.
Liens associés
- Pour connaître les raisons pour lesquelles Google n'assure plus la compatibilité avec certains certificats Symantec, consultez l'article Chrome’s Plan to Distrust Symantec Certificates (Projet d'arrêt de la compatibilité de Chrome avec les certificats Symantec).
- Pour obtenir une description détaillée de la règle, consultez la rubrique EnableSymantecLegacyInfrastructure.
- Pour en savoir plus sur les modèles de règles Chrome, consultez l'article Définir des règles Chrome pour les appareils.