Certificats signés en SHA-256

Les certificats SSL couramment déployés sont signés par défaut avec une méthode dite sha1WithRSAEncryption, c'est à dire avec un hashage basé sur SHA-1.

Pour un plus haut niveau de sécurité dans les certificats, le hashage SHA-256 a été implémenté (sha256WithRSAEncryption).


TBS internet propose depuis le 24 décembre 2008 un certificat de test (X509 Test TBS SHA256 valide 30 jours) signé en SHA-256.

TBS internet propose depuis le 5 janvier 2009 un produit commercial en SHA-256 valide 1, 2 ou 3 ans: X509 SGC SHA256 TBS

TBS internet a mis en place un site qui permet de tester son navigateur avec un certificat SHA256

Pour bien se préparer à cette transition inéluctable, il faut prendre de l'avance!
Voyez les logiciels qui supportent cette technologie (retour d'expérience bien venues) :

• Navigateurs supportant les certificats SHA-256
• Serveurs supportant les certificats SHA-256

Pour totalement abandonner SHA-1, in faut aussi utiliser SHA-256 dans la session SSL. Ceci nécessite des cipher compatibles, et requiert le protocole TLS 1.2. Ce protocole est encore peu répandu coté serveur (voir pour IIS et pour Apache) et coté navigateurs (IE 8+ (hors XP), et Opera 10+). Le développement dans les produits Firefox et Chrome est en cours (voir ici).