Résumé
SHA-2 est une famille d'algorithmes de hachage cryptographique développée par le NIST (National Institute of Standards and Technology) dans le but de remplacer l'algorithme de hachage vieillissant SHA-1 qui pourrait présenter une faiblesse mathématique.
En tant que partenaire en sécurité de votre organisation, il est de notre devoir de soutenir la dépréciation de SHA-1 et d'encourager la transition vers SHA-256, l'algorithme de hachage le plus répandu de la famille SHA-2. Afin d'assurer un processus sans encombre, nous accompagnerons tous nos clients dans leur transition vers SHA-256. La première étape de cette transition est la mise à disposition de certificats SSL GlobalSign SHA-256 en date du 31 mars 2014.
Cet article souligne les étapes importantes des processus d'introduction des certificats SSL SHA-256 et de dépréciation des certificats SSL SHA-1.
Dates clés de l'arrêt de la reconnaissance de SHA-1 :
| 1er janvier 2016 | Les certificats de signature de code utilisant SHA-1 ne seront plus reconnus par Microsoft |
|---|---|
| 1er janvier 2017 | Les certificats SSL utilisant SHA-1 ne seront plus reconnus pas Microsoft |
| Juillet 2015 | Microsoft révisera les dates ci-dessus et pourra éventuellement accélérer le processus si cela est jugé nécessaire |
Bien que le CA/B Forum n'ait pas encore spécifié l'utilisation de SHA-256 dans ses exigences de base, Microsoft mène le secteur dans cette transition, en ayant défini janvier 2017 comme la date où elle cessera de reconnaître les certificats émis avec l'algorithme SHA-1 depuis une racine publique. GlobalSign suit de près le statut de SHA-256 dans le secteur des Autorités de Certification et des navigateurs, ainsi que dans les protocoles de sécurité, et s'engage à tenir sa clientèle informée de tout changement important ou de toute avancée crédible dans la dépréciation de SHA-1.
Les clients de GlobalSign doivent prendre connaissance des événements ayant lieu aux dates suivantes :
| 31 mars 2014 | GlobalSign recommandera l'utilisation de SHA-256, alors disponible lors du processus de commande de certificats SSL. |
|---|---|
| 31 mars 2014 | Les clients de GlobalSign pourront réémettre avec l'algorithme SHA-256 des certificats SHA-1 existants sans frais supplémentaires, et ce pendant toute la durée de validité des certificats. |
| 31 mars 2014 | Toute nouvelle commande d’un certificat SHA-1 sera limitée à une durée de validité maximale de trois ans. GlobalSign s'alliera avec Microsoft et d'autres distributeurs, afin de surveiller les risques de SHA-1, ainsi que sa situation de dépréciation, et pourra en conséquence réduire la période de validité de ses certificats ultérieurement. |
| Janvier 2016 | GlobalSign suspendra toute possibilité d'émission de certificat SHA-1 (soumis à modification selon la mise à jour des directives de Microsoft). |
Problèmes de compatibilité connus :
SHA-256 est désormais compatible avec la plupart des applications, serveurs et navigateurs. Cependant, certains systèmes d'exploitation plus anciens, tels que la version de Windows XP avant le Service Pack 3, et certains appareils mobiles ne reconnaissent pas SHA-256. Avant que l'algorithme SHA-1 ne soit officiellement déprécié par Microsoft, il est nécessaire de vous assurer que votre organisation et celles qui dépendent de votre infrastructure bénéficient de systèmes compatibles avec SHA-256 en installant les dernières versions des applications ou navigateurs utilisés, et en mettant à jour la sécurité de votre système d'exploitation.
Pour davantage d'informations, veuillez vous reporter à la liste des navigateurs, services et appareils mobiles compatibles avec SHA-256..
Informations complémentaires :
Conseil de Sécurité des Autorités de Certification :
https://casecurity.org/2014/01/30/why-we-need-to-move-to-sha-2/
https://casecurity.org/2013/12/16/sha-1-deprecation-on-to-sha-2/
Compatibilité SHA-256 sur Windows :
http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx
Exigences du programme d'intégration de la racine Microsoft :