Dans la chaîne de confiance pour vérifier les certificats électroniques, Google n'avait pas jusqu'à présent de point d'ancrage en tant qu'autorité de certification racine et agissait à ce niveau comme un intermédiaire.
En l'occurrence, Google opère une autorité de certification subordonnée (GIAG2 ; Google Internet Authority G2) avec un certificat SSL et TLS qui sont émis par un tiers pour ses produits. La semaine dernière, la firme de Mountain View a annoncé une migration vers sa propre autorité de certification racine : Google Trust Services (GTS).
Cette migration va prendre un certain temps pendant lequel les utilisateurs verront un mélange de certificats de GIAG2 et GTS quand ils interrogeront leur navigateur lors d'une connexion sécurisée HTTPS afin d'avoir davantage d'informations sur le certificat.
GTS va émettre des certificats HTTPS pour des produits et services de Google mais aussi de sa maison-mère Alphabet. Pour faciliter la migration et obtenir son indépendance plus rapidement, Google a mis la main sur des autorités de certification racine déjà existantes : R2 et R4 de GlobalSign.
En devenant sa propre autorité de certification racine, Google se fait une nouvelle fois le porte-étendard de HTTPS, et avec un contrôle complet pour ses domaines Internet, y compris pour révoquer des certificats lorsque cela est nécessaire.
Un contrôle de plus en plus dense en y ajoutant par exemple le fait que Google offre des serveurs DNS publics. Dans le même temps… qui de mieux que Google pour vérifier ses propres domaines ?
