Mozilla soutient la dépréciation de SHA-1 (initiée par Microsoft et qui a récemment fait l'actualité en raison des changements dans Chrome prévus par Google) en implémentant des alertes de sécurité sur les sites qui utilisent des certificats SSL SHA-1. Mozilla a annoncé ces changements à venir dans un récent communiqué et déclaré que "de nombreux sites web sont toujours sécurisés par des certificats SSL utilisant une signature SHA-1. Nous nous alignons donc avec Microsoft et Google pour signaler que les certificats SHA-1 ne devraient plus être émis après le 1er janvier 2016 et reconnus après le 1er janvier 2017."
Calendrier et description des changements
Selon le blog de Mozilla, la première mesure consistera à ajouter des alertes de sécurité sur sa console web, afin de rappeler aux développeurs de ne plus utiliser de certificats SHA-1. Mozilla prévoit d'ajouter des messages plus significatifs pour les certificats qui expireront après le 1er janvier 2017, date initialement prévue par Microsoft pour la dépréciation définitive des certificats SHA-1. Les changements sur la console web de Mozilla apparaîtront dans les versions de Firefox publiées à partir de début 2015.
Pour ce qui est des changements de l'interface utilisateur du navigateur, voici ce que nous savons pour le moment :
- 1er janvier 2016 - tous les certificats SHA-1 émis après cette date déclencheront le message « cette connexion n'est pas certifiée ».
- 1er janvier 2017 - tous les certificats SHA-1 déclencheront le message d'erreur « cette connexion n'est pas certifiée ».
Exemple d'un message de connexion non-sécurisée, fourni par Mozilla
Dans sa déclaration, Mozilla affirme que de nouveaux indicateurs d'interface utilisateur pourraient être mis en place dans le futur. Il est donc possible d'envisager d'autres changements à venir. Nous gardons un œil sur ce type de déclarations et vous tiendrons informés de toute information rendue publique.
Préparez votre site web
Vous pouvez vérifier si votre site web utilise un certificat SHA-1 à cette adresse : https://globalsign.ssllabs.com/
Si votre certificat SSL SHA-1 expire après le 31 décembre 2016, il vous faudra prendre les mesures nécessaires pour ne pas être affecté par les changements de l’interface utilisateur de Mozilla :
- Réémettez votre certificat en utilisant l'algorithme SHA-256. Ceci garantira que votre site web est conforme lorsque les nouvelles versions de Chrome et Firefox seront lancées. Avec GlobalSign, vous pouvez réémettre votre certificat gratuitement.
- Si vos applications ne reconnaissent pas l'algorithme SHA-256, nous vous conseillons fortement de les mettre à niveau au plus vite. Plus d'informations sur la compatibilité sur cette page.
Vérifiez vos certificats dès aujourd'hui pour vous assurer qu'aucun d'entre eux ne déclencheront des messages de sécurité alarmants pour vos visiteurs. Pour toute question sur la compatibilité, la réémission de vos certificats ou tout autre sujet, n'hésitez pas à nous contacter. Nous sommes là pour vous aider !
