Pourquoi migrer vers les certificats TLS/SSL SHA-2 ?
Pour renforcer votre sécurité, nous avons fait de SHA-256 (variante de SHA-2) l’algorithme par défaut pour tous les certificats TLS/SSL que nous émettons. DigiCert recommande fortement aux utilisateurs de mettre à jour leurs certificats SHA-1 pour migrer vers SHA-2, l’algorithme SHA-1 n’étant plus considéré comme fiable depuis 2006. De fait, le NIST (National Institute of Standards and Technology) déconseille l’utilisation de SHA-1 depuis 2011 et interdit même son utilisation pour les signatures numériques depuis 2013. Les cryptanalystes exhortent eux aussi les administrateurs à remplacer leurs certificats SHA-1, car ces derniers présentent un risque bien plus important que prévu.
Comment identifier et remplacer rapidement les certificats SHA-1 ?
L’outil cloud Discovery, inclut dans la plateforme DigiCert CertCentral®, vous aide à identifier rapidement les certificats TLS/SSL SHA-1 et à les remplacer gratuitement par des certificats DigiCert SHA-2. Cet outil de recherche est capable de trouver les certificats même dans les réseaux distribués les plus complexes. Plusieurs types de scans sont disponibles pour détecter et surveiller les certificats privés et publics, quelle que soit l’autorité de certification (AC) émettrice.
L’outil intègre deux composants pour faciliter la recherche des certificats TLS et des clés SSH sur tous les réseaux :
- Scans cloud : cette option permet de détecter rapidement et facilement les certificats TLS sur les serveurs connectés à Internet. Elle se lance instantanément depuis l’interface CertCentral. Aucune installation n’est requise.
- Scans réseau : cette option identifie les certificats TLS privés et publics sur les réseaux distribués complexes. Elle passe au crible votre environnement et génère des rapports pour une visibilité complète sur tous vos certificats TLS et vos clés SSH.
Quand dois-je migrer vers SHA-2 ?
Google, Mozilla et Microsoft ne prennent déjà plus en charge les certificats SSL SHA-1. Bien avant cela, Chrome affichait déjà des messages d’erreur sur les sites utilisant ce type de certificats. Les administrateurs qui n’ont pas encore migré vers SHA-2 doivent sauter le pas le plus rapidement possible.
En août 2014, Google avait durci le ton et annoncé que dès le mois de novembre suivant, Chrome afficherait des messages d’erreur sur les sites utilisant des certificats SHA-1, jugés non sécurisés. Le géant tech entendait par là même accélérer l’abandon du SHA-1 et fluidifier la transition vers l’algorithme MD5.
En octobre 2015, une équipe internationale de cryptanalystes publiait une étude enjoignant les administrateurs à remplacer leurs certificats SHA-1 car ces derniers présentaient un risque bien plus important que prévu. Il s’agit là néanmoins d’une étude purement théorique et ses hypothèses n’ont pour le moment jamais été appliquées en conditions réelles. Si le danger ne semble pas immédiat, nous recommandons néanmoins aux administrateurs de migrer le plus tôt possible vers le nouvel algorithme SHA-2.
Ils doivent tenir compte de l’impact de cette transition, notamment sur les éléments suivants :
- Compatibilité des équipements avec l’algorithme SHA-2
- Mises à jour des logiciels serveurs pour la prise en charge de SHA-2
- Prise en charge de SHA-2 sur les logiciels clients
- Prise en charge de SHA-2 sur les applications clients
Si les éditeurs de navigateur et les AC tablaient sur une migration vers SHA-2 au plus tard en 2017, les dernières études en la matière conseillent aux organisations d’accélérer la transition et de mettre à jour leurs infrastructures existantes le plus rapidement possible. Pour plus d’information sur l’adoption progressive de SHA-2, rendez-vous sur notre FAQ dédiée.
