Publié le 7 mai 2025
À partir du 7 mai 2025, vous pourrez choisir d'exiger que les futures importations sur le Chrome Web Store soient signées avec une clé privée approuvée. Cela permet de vous assurer que vous êtes le seul à pouvoir importer de nouvelles versions, même si votre compte ou votre workflow de publication sont compromis.
Fonctionnement de la signature sans clé privée
Toutes les extensions du Chrome Web Store sont signées par Google. Toutefois, cette clé est gérée par le Chrome Web Store, et la signature s'effectue automatiquement lorsqu'un nouveau package est importé. Cela signifie que toute personne ayant accès à votre tableau de bord pour les développeurs peut importer un package à signer et à publier.
Ce qui change
Vous pouvez désormais choisir de fournir au Chrome Web Store une clé publique RSA à utiliser pour vérifier les futures importations. Toutes les importations qui ne sont pas signées par cette clé publique seront refusées, ce qui constitue une couche de sécurité supplémentaire.
Si une importation réussit cette validation, elle est automatiquement reconditionnée avec la clé privée existante avant d'être publiée. Cela garantit que l'extension conserve le même ID et qu'elle sera signée avec une clé approuvée par Chrome.
Si vous ne l'activez pas, Google continuera de signer vos importations.
S'inscrire au programme de test bêta
Dans le tableau de bord du développeur, accédez à l'onglet Package (Package) de votre élément, puis cliquez sur le bouton Opt in (Activer). Vous êtes alors invité à fournir une clé publique:
Découvrez comment générer et stocker une clé compatible dans la documentation du Chrome Web Store.
En savoir plus
Pour en savoir plus, consultez notre documentation mise à jour. Vous pouvez poser vos questions sur la liste de diffusion chromium-extensions.