>> Quels problèmes de sécurité l’algorithme SHA-1 pose-t-il ?
>> Quand les navigateurs ont-ils cessé de prendre en charge SHA-1 ?
>> Comment répondons-nous aux exigences SHA-2 ?
>> Que faire si j’ai des difficultés avec mon certificat SHA-2 ?
>> Mes utilisateurs rencontreront-ils des problèmes si mon site web est sécurisé à l’aide d’un certificat SSL SHA-2 ?
Quels problèmes de sécurité l’algorithme SHA-1 pose-t-il ?
Bien que le risque zéro n’existe pas, les fonctions de hachage offrent un certain niveau de résistance face aux attaques par collision. Ce terme désigne une situation dans laquelle un acteur malveillant parvient à obtenir deux hashes identiques à partir d’une même fonction et de deux sources distinctes. Lors d’une attaque par collision, l’attaquant crée un certificat non autorisé. Les navigateurs web font confiance à ce certificat qui peut ensuite être utilisé pour créer un faux site web sécurisé par le protocole HTTPS.
À mesure que les technologies évoluent, les fonctions de hachage sont de plus en plus vulnérables au risque de collision et doivent être remplacées par des fonctions plus résistantes. En 2005, une équipe de recherche chinoise a découvert dans l’algorithme SHA-1 une faille l’exposant à ce risque. Depuis cette date, les attaques menées par les chercheurs/cryptologues contre ces fonctions de hachage pour débusquer leurs vulnérabilités n’ont cessé de se sophistiquer. Ces derniers prédisent que dans quelques années, n’importe quel acteur malveillant pourra s’offrir la puissance de calcul nécessaire pour mener à bien une attaque par collision.
Quand les navigateurs ont-ils cessé de prendre en charge SHA-1 ?
Dans le cadre de leur plan de migration vers le nouvel algorithme SHA-2, Microsoft, Google et Mozilla ont annoncé l’abandon progressif des certificats SHA-1.
Suppression des certificats SSL SHA-1 :
En 2016, Microsoft, Google et Mozilla ont commencé à éliminer peu à peu les certificats SHA-1. Voici une chronologie des événements :
- Novembre 2014 – Les certificats SSL SHA-1 expirant en 2017 génèreront un message d’erreur dans Chrome.
- Décembre 2014 – Les certificats SSL SHA-1 expirant après le 1er juin 2016 génèreront un message d’erreur dans Chrome.
- Janvier 2015 – Les certificats SSL SHA-1 expirant en 2016 génèreront un message d’erreur dans Chrome.
- Décembre 2015 – Les certificats SSL SHA-1 émis après le 1er janvier 2016 génèreront un avertissement de "connexion non approuvée" dans Firefox.
- Janvier 2016 – Les certificats SSL SHA-1 émis après le 1er janvier 2016 génèreront un message d’erreur de certificat dans Chrome.
Critères de certificat : signé à l’aide d’une signature de base SHA-1, émis après le 1er janvier 2016 et lié à une AC publique. - 1er janvier 2017 – Microsoft, Google et Mozilla cesseront de prendre en charge les certificats SSL SHA-1.
Au vu des récentes attaques sur SHA-1, Mozilla et Google envisagent d’avancer cette date au 1er juillet 2016.
Pour ces mêmes raisons, Microsoft pourrait opérer cette transition dès le mois de juin 2016.
Comment répondons-nous aux exigences SHA-2 ?
DigiCert a pour ambition d’offrir à ses clients les meilleures expériences lorsqu’ils utilisent le protocole SSL. C’est pourquoi nous avons choisi dès l’annonce de Microsoft de ne plus émettre de certificats SHA-1 expirant après 2017 et de faire de SHA-2 l’algorithme par défaut pour tous les nouveaux certificats. DigiCert vous conseille fortement d’accélérer le déploiement du SHA-2 et, si ce n’est pas déjà le cas, de préparer la migration définitive vers cet algorithme.
Que faire si j’ai des difficultés avec mon certificat SHA-2 ?
Vérifiez si l’éditeur de votre navigateur ou de votre système d’exploitation a publié des mises à jour permettant la prise en charge de SHA-2.
Mes utilisateurs rencontreront-ils des problèmes si mon site web est sécurisé à l’aide d’un certificat SSL SHA-2 ?
Tous les navigateurs récents prennent en charge les certificats SHA-2. En revanche, les anciennes versions peuvent présenter plusieurs failles de sécurité, y compris des problèmes de compatibilité. C’est pourquoi DigiCert recommande aux administrateurs de vérifier que leurs utilisateurs mettent bien à jour leurs systèmes obsolètes, moins sécurisés.
