Menu
picture of tbs certificates
picture of tbs certificates
 
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


SHA1 : Dépréciation de l'algorithme SHA1 prévue en 2015, 2016, 2017 ?

Microsoft

Microsoft l'annonçait il y a quelques semaines, la firme dépréciera SHA1 à partir de janvier 2017 pour lui préférer SHA256. En clair, les certificats et intermédiaires signés en SHA1 ne seront plus reconnus et déclencheront des alertes de sécurité sur tous les produits de la marque.

Les raisons

Même si SHA1, algorithme de hachage le plus largement utilisé aujourd'hui (98%), est encore fiable et le restera encore quelques années, SHA256 est destiné, à terme, à prendre le relais afin d'assurer la perennité de la technologie SSL.

Microsoft a donc pris l'initiative, pour des raisons de sécurité, de définir une date pour l'abandon du support SHA1 alors même que le CA/B Forum n'a encore rien préconisé en ce sens.

Le catalogue

TBS INTERNET propose sa propre gamme de SSL SHA256 depuis 2008 et a accueilli les certificats SHA256 Thawte, Symantec et Comodo courant 2013. Nous sommes capables de répondre à tout type de besoin en SHA256 et aurons donc les moyens de vous accompagner lors de cette transition.

Les autorités

En 2013 Symantec et Thawte lançaient leurs offres de certificats SHA256. Ils sont disponibles dans notre catalogue.

GlobalSign, quant à lui, a prévu le lancement de sa gamme en version SHA256 en 2014. TBS se prépare donc à actualiser son catalogue à la sortie de ces nouveaux produits.

Il sera alors possible de demander un certificat SHA256 ou de refabriquer un certificat SHA1 pour obtenir sa version SHA256.

Cas des certificats développeur (code signing)

L'échéance, concernant les certificats de signature de code, est prévue pour le 1er janvier 2016 avec cependant une nuance :

  • Les certificats SHA1 n'utilisant pas de fonction d'horodatage ne seront plus acceptés au 1er janvier 2016
  • Les certificats SHA1 horodatés avant le 1er janvier 2016 continueront à fonctionner normalement (jusqu'à ce que Microsoft les considèrent vulnérables à l'attaque de pré-image).

Cas des certificats client

Microsoft n'a pas encore défini de date concernant le blocage des certificats client SHA1. Cependant il prévient que ces derniers pourraient s'arrêter de fonctionner "à tout moment".

Calendrier prévisionnel Microsoft

1er janvier 2016 1er janvier 2017
Microsoft ne fera plus confiance aux certificats développeur utilisant SHA1 Microsoft ne fera plus confiance aux certificats serveur utilisant SHA1

À noter : Microsoft prévoit une étude de l'impact de cette migration en juillet 2015.

UPDATE 20161108 : Microsoft a finalement repoussé la date de la in du support SHA1 pour les certificats serveur à février 2017. Plus d'informations sur le site de Microsoft.

Google Chrome

Google annonce également un plan visant à déprécier SHA1 progressivement sur son navigateur Chrome.

Un affichage spécifique sera mis en place dès la 4ème trimestre 2014. Il ne s'agit pas d'une alerte mais d'un élément visuel de la barre d'adresse indiquant une erreur. Cette affichage évoluera :

Expiration du certificat Chrome 39
Trimestre 4 - 2014
Chrome 40
Janvier 2015
Chrome 42
Trimestre 2 - 2015
Après le 01/01/2017 minor neutral insecure
Après le 01/06/2016 - minor neutral
Après le 01/01/2016 - - minor

Selon le tableau ci-dessus, un certificat SHA1 expirant après le 1er janvier 2016 déclenchera une erreur de sécurité "minor" à partir de la version 41 de Chrome (voir les visuels des différents niveaux d'affichage ci-dessous).


minor

neutral

insecure

Messages d'alertes Chrome

  • Pour les certificats de type EV (Extended Validation) ces alertes, même mineures, sont accompagnées de la disparition de la barre verte sur Google Chrome.

  • Sur Chrome Windows, si vous cliquez sur le cadenas / triangle jaune ("Afficher les information à propos du site"), des messages apparaissent si vous continuez à utiliser un certificat signé en SHA1. Par exemple :

    "En raison des paramètres de sécurité obsolètes de ce site, il se peut que les versions futures de Chrome ne puissent pas y accéder en toute sécurité."

    ou encore :

    " La technologie de cryptographie utilisée pour chiffrer votre connexion à www.mondomaine.fr est obsolète. "

    " Ce site utilise une configuration de sécurité faible (signatures SHA-1). Il est donc possible que votre connexion ne soit pas privée. "

Solution: Effectuer, à partir de la page statut de votre espace client chez TBS-Internet, une re-fabrication gratuite de votre certificat avec l'option de hashage SHA256.
Si le formulaire de re-fabrication ne vous propose pas l'option SHA256 vous pouvez alors acquérir un certificat SHA256 ou renouveler votre certificat existant : http://www.tbs-certificats.com/

Mozilla

Mozilla a décidé de se ranger à l'avis de Microsoft et Google et choisi de ne plus accorder sa confiance aux certificats SHA1 émis après le 1er janvier 2016 et ceux expirant après le 1er janvier 2017.

Mozilla prévoit d'afficher l'alerte 'Untrusted Connection' à partir du 1er janvier 2016 pour les certificats SHA1 récemment émis et à partir du 1er janvier 2017 pour tous les certificats SHA1.

Untrusted Connection :

CA/B Forum

Après les différentes annonces de Microsoft, Google ou encore Mozilla de déprécier SHA1 dans les mois et années à venir, le CA/B annonce officiellement la fin de SHA1 pour le 31 décembre 2016. Il n'est plus possible de livrer de certificat SHA1 expirant après cette date et aucun certificat SHA1 ne pourra être émis après le 1er janvier 2016.

-> Toutes les échéances concernant la disparition de SHA1

Étude de cas

Alerte : "Ce site utilise un certificat SHA-1"

Malgré l'acquisition chez TBS-INTERNET et l'installation d'un certificat signé avec l'algorithme de hashage SHA256 pour sécuriser votre site Internet, votre navigateur continue à afficher une alerte du type :

"Ce site utilise un certificat SHA-1 ; il est recommandé d'utiliser des certificats possécdant des algorithmes de signature ayant recours à des fonctions de hachage plus robustes que SHA-1."

Solution : Vérifier que vos pages HTML ne font pas références à des ressources extérieures (Javascript, CSS, Google Fonts, api AJAX, ...) sur des serveurs, certes sécurisés en HTTPS, mais utilisant des certificats toujours signé en SHA-1.

Exemple(s) marquant(s) à ce jour :

  • (mars 2015) : https://ajax.googleapis.com/
  • (mars 2015) : https://www.google.com/fonts
  • (mars 2015) : https://www.google.fr/
  • (mars 2015) : https://www.gmail.com/

Windows XP pas compatible SHA256

Mettre à jour un large parc informatique ne peut pas toujours être réalisés rapidement, c'est la cas rencontré dans certaines institutions utilisant encore de postes sous Windows XP (utilisant une version d'Internet Explorer antérieur à la version 7 ou sous Windows XP SP2-). Ces OS / Navigateurs ne peuvent plus se connecter à des serveurs utilisant maintenant un certificat signé en SHA-256.

Solution intermédiaire :

  • Votre serveur, pour répondre aux nouvelles normes de sécurité devra un jour ou l'autre intégrer un certificat signé en SHA-256.

  • Pour les postes utilisateurs toujours sous windows XP SP2 et ne pouvant pas être mis à jour rapidement, vous pouvez toujours installer / utiliser gratuitement le logiciels de la suite Mozilla sur ces postes XP (Navigateur Firefox, Lecteur des e-mails Thunderbird, ... ) et permettre ainsi l'accès aux sites sécurisés en SHA-256, le temps de la migration de votre parc.

Liens utiles

Vérifiez l'installation de votre certificat grâce à CO-PiBot :

Sur votre page statut du certificat, dans votre espace client chez TBS INTERNET, vous y trouverez un bouton "Vérifier votre certificat" pour tester la bonne installation de votre certificat.


Messages d'erreurs parfois rencontrés dans un navigateur


Pour aller plus loin