Comment migrer les certificats SHA-1 vers l’algorithme de hachage SHA-2 ?
Si le risque que posent les certificats SHA-1 ne semble pas immédiat, DigiCert recommande néanmoins aux administrateurs de migrer le plus tôt possible vers le nouvel algorithme SHA-2.
Le guide de migration présenté ici permettra aux administrateurs de planifier cette transition et de déployer les nouveaux certificats SSL SHA-2 en toute sérénité.
- Migration SHA-2 : les étapes
- Migration SHA-2 : les outils
- Migration SHA-2 : les options de remplacement
Migrer du SHA-1 au SHA-2 en 6 étapes
- Vérifier que l’environnement prend en charge les certificats SHA-2
Commencez par vous assurer que votre environnement, y compris les logiciels et les équipements qu’il renferme, est compatible avec les certificats SHA-2. Pour vous y aider, nous mettons à votre disposition la liste des équipements et logiciels compatibles avec SHA-2.
Si des composantes de votre environnement se révèlent incompatibles avec le nouvel algorithme, vous devez obligatoirement les remplacer ou les mettre à jour avant de pouvoir déployer les certificats SHA-2.
- Identifier tous les certificats SHA-1
Utilisez un outil de recherche comme Discovery pour identifier tous les certificats SHA-1 dans votre réseau, quelle que soit l’entité émettrice.
- Générer une nouvelle CSR pour chaque certificat SHA-1
Générez une nouvelle demande de signature de certificat (CSR) pour chacun des certificats utilisant encore l’algorithme SHA-1 sur le serveur où ils sont installés.
DigiCert met à votre disposition des générateurs CSR très pratiques pour tous les principaux types de serveurs qui automatisent le processus de génération CSR. Pour accéder aux générateurs CSR de DigiCert, rendez-vous sur la page Créer une CSR (demande de signature de certificat), à la section Common Platforms & Operating Systems (plateformes et systèmes d’exploitation courants).
- Remplacer les certificats SHA-1 par des certificats SHA-2
Pour remplacer vos certificats SHA-1 existants par de nouveaux certificats SHA-2, trois options s’offrent à vous : 1) réémettre le certificat, 2) renouveler le certificat ou 3) acheter un nouveau certificat.
- Installer les nouveaux certificats SHA-2
Une fois vos certificats reçus, installez-les sur votre réseau avec tous les certificats intermédiaires requis.
La page de support du site web DigiCert contient une mine d’informations pour vous aider à installer les nouveaux certificats dans votre environnement.
Si vous utilisez l’utilitaire DigiCert® Certificate Utility for Windows, vous pouvez automatiser le processus et installer les certificats en quelques clics grâce à notre fonctionnalité innovante Express Install. Pour obtenir les instructions d’importation des certificats SSL, consultez la page SSL Certificate Importing Instructions : DigiCert® Certificate Utility for Windows.
- Vérifier l’installation de certificats
La dernière étape consiste à vérifier votre site web pour vous assurer que les certificats sont bien installés et fonctionnent correctement. Vous pouvez utiliser gratuitement l’outil DigiCert de diagnostic d’installation des certificats SSL pour identifier les éventuels problèmes. Vous pouvez également utiliser l’outil Discovery pour identifier les erreurs de configuration potentielles susceptibles d’introduire des vulnérabilités.
Remplacez gratuitement les certificats SHA-1
La transition vers le nouvel algorithme SHA-2 n’est pas toujours une mince affaire. Pour vous simplifier la tâche, DigiCert met à votre disposition plusieurs options gratuites.
Pour migrer vers SHA-2 :
Vous pouvez réémettre, étendre ou remplacer vos certificats DigiCert existants. Ces derniers incluent un nombre illimité de réémissions. Il est donc très facile de remplacer vos certificats SHA-1 par des certificats SHA-2 en toute simplicité.
Pour réémettre vos certificats DigiCert existants :
Une fois connecté(e) à votre compte client DigiCert, suivez les instructions de réémission des certificats SSL DigiCert®.
Pour renouveler vos certificats DigiCert existants :
Les clients DigiCert ont également la possibilité de renouveler un certificat existant pour bénéficier de l’algorithme SHA-2. Dans votre compte client, vous verrez apparaître un bouton « Renew » 90 jours avant la date d’expiration du certificat. Il vous suffira de cliquer dessus pour renouveler le certificat en question.
Certificats tiers :
Vous pouvez remplacer gratuitement vos certificats SHA-1 tiers par un certificat SHA-2 de DigiCert.
