20140918 - Disparition de SHA1 : quelle est la situation ?
Comodo et TBS X509
Suite aux annonces de Microsoft et de Google concernant la dépréciation de SHA1 sur leurs outils, Comodo a décidé de stopper l'émission de certificats SSL serveur SHA1 selon le calendrier suivant :
- 18/09/2014 : Suppression des produits serveur SHA1 expirant après le 1er janvier 2016. Seuls les produits SHA1 valides 1 an restent donc disponibles.
- 01/01/2016 : Suppression de tous les produits serveur signés en SHA1.
Les produits TBS X509 suivent la même logique.
Conséquence : Dès aujourd'hui il n'est plus possible d'obtenir de certificats signés en SHA1 d'une durée de validité supérieure à 1 an.
COMPTES 'ACHAT EN GROS' : Si vous possédez des jetons TBS X509 et Comodo concernés par cette disparition, contactez notre service commercial pour effectuer la conversion.
Vous possédez un certificat SHA1 expirant après le 1er janvier 2016. Que faire ?
Pour les clients possédant un certificat SHA1 en cours de validité et expirant après le 1er janvier 2016, il faudra en demander la refabrication gratuite via la page statut du certificat pour passer sur du SHA256.
Seuls les certificats SGC ne sont pas refabricables en SHA256.
Pour les détenteurs de certificats SGC en cours de validité, nous mettons à disposition de nos clients impactés des codes promotionnels pour la migration :
migrat2014shaTbs
migrat2014shaCom
Détails de l'offre :
- Valide pour le remplacement d'un certificat acheté chez TBS INTERNET
- Code promo de 20% applicable uniquement pour la migration de produits SHA1 vers SHA256 en cours de validité et commandés avant le 18/09/2014
- Uniquement applicable pour le remplacement d'un certificat à l'identique (même CN, même organisation)
- Code TBS X509 : valide pour le passage d'un produit TBS X509 SHA1 vers son équivalent SHA256
- Code Comodo : valide pour le passage d'un produit Comodo SHA1 vers son équivalent SHA256
- Code valide à partir du 18/09/2014
Symantec, Thawte, Geotrust
Les certificats de ces marques sont refabricables gratuitement en SHA256, exceptés les produits Supercert de Thawte. Il vous suffit donc d'en faire la demande via la page statut de vos certificats.
De même les certificats SHA256 de ces marques expirant avant le 31 décembre 2016 sont refabricables en SHA1
À noter : Google a précisé que certificats ET intermédiaires devaient être signés en SHA256 pour être considérés comme sûrs. Or, les certificats émis avant le 18/09/2014 sont chaînés à des intermédiaires SHA1. Si vous possédez un certificat d'une de ces marques et émis avant le 18/09/2014, il vous faudra en demander la refabrication pour que ce dernier soit rattaché à un intermédiaire SHA256.
EDIT 20141016 - Symantec annonce qu'à partir du 6 novembre 2014 il ne fournira plus de certificats SSL SHA1 qui expireraient après le 31 décembre 2016.
Globalsign
Les certificats de l'autorité sont également refabricables gratuitement en SHA256. Il vous suffit donc d'en faire la demande via la page statut de vos certificats.
GlobalSign a, de son côté, prévu la suppression de ses produits SHA1 pour le 1er janvier 2016.
EN BREF : LES PRODUITS RECOMMANDÉS
Nous recommandons de basculer vers SHA256 peu importe la durée de validité de vos outils SSL. Les produits SHA1 vont disparaître très vite, il est donc important de passer à SHA256 le plus tôt possible.
Liens utiles
- SHA1 : Dépréciation de l'algorithme SHA1 prévue en 2015, 2016, 2017 ?
- Le glas a sonné pour le SGC / Histoire du certificat SGC
- Ce qu'il faut savoir sur SHA256
- Navigateurs supportant les certificats SSL avec l'algorithme de hachage SHA256
- Serveurs supportant les certificats SSL avec l'algorithme de hachage SHA256