FAQ -fin du support des certificats SHA-1 et leur mise à jour

(18.9.2014) Le FAQ suivant vous aide à répondre aux questions les plus fréquentes en termes de transfert depuis SHA-1 vers SHA-2. Vous apprendrez comment passer à un algorithme de hachage plus sûr gratuitement ou comment le certificat SHA-1 s'affichera dans Google Chrome.  Cet article sera régulièrement mis à jour et complété avec de nouvelles informations.

Qu'est-ce que SHA-1 et où s'utilise-t-il?

L'abréviation SHA signifie Secure Hash Algoritm et désigne une fonction de hachage fréquemment utilisée. L'empreinte (hash en anglais) est un "moulage de plâtre" des données qui exprime leur aspect concret. Si les données changent, leur empreinte ne sera pas la même. La fonction de hachage peut vous aider à contrôler qu'aucune donnée n'a été modifiée. Grâce à cette particularité et à la possibilité de vérifier l'immuabilité et l'intégrité des données, elle est utilisée pour les signatures électroniques et elle peut être utilisée dans le certificat pour créer l'empreinte de la signature mais aussi l'empreinte du fichier du certificat.

Une autre fonction de hachage connue est par exemple l'algorithme MD5 - cet algorithme ne s'utilise cependant plus dans les solutions portées sur la sécurité car il est faible et qu'il peut créer des collisions. Dès qu'un algorithme de hachage permet de créer des collisions, c'est-à-dire d'artificiellement créer deux empreintes identiques, l'algorithme n'est plus considéré comme sûr.

Pourquoi soudainement changer l'algorithme de hachage ?

Tous les algorithmes utilisés dans le domaine du cryptage et de la sécurité sont fondés sur un problème mathématique qu'il est difficile de solutionner. Il est supposé qu'il est humainement et même techniquement impossible de briser ces algorithmes. Avec le développement de l'informatique et les possibilités d'attribuer de la puissance aux ordinateurs, ces algorithmes deviennent rapidement dépassés et il est nécessaire de régulièrement les remplacer par des plus forts (soit mathématiquement plus compliqués, soit avec des clés plus longues dans le cas de cryptage).

La question est à quel moment doit-on changer d'algorithme ? Les instituts de normes émettent généralement des conseils sur la durée de vie des algorithmes. L'un de ces instituts est le NIST américain -  National Institute of Standards and Technology. Celui-ci a déconseillé l'utilisation de SHA-1 après 2013, il n'est donc pas surprenant que les fabricants de logiciels aient également commencé à réfléchir à son remplacement.

Qu'est-ce que ce changement implique pour les utilisateurs de SSLmarket ?

La plupart des utilisateurs de certificats SSL de SSLmarket peuvent être tranquilles, notamment s'ils n'ont pas des certificats pour plusieurs années ou que leur certificat n'expire pas en 2017 ou plus tard. En cas de prolongation, nous conseillons de le faire en utilisant un algorithme SHA-2 ou de faire ré-émettrele certificat.

Comment effectuer la transition d'un certificat depuis SHA-1 vers SHA-2 ?

Pendant toute la durée de validité du certificat, il est possible d'effectuer le changement de façon très simple et faisant ré-émettre le certificat avec SHA-2. Ce processus de réémission s'appelle reissue en anglais.

Dans votre compte client, vous trouverez les détails de votre certificat et vous pouvez cliquer sur Réémettre. Insérez un nouveau CSR utilisant SHA-2 et changez le choix  Hash algoritmus pour SHA-2 (ce choix détermine l'algorithme utilisé par l'autorité mais pas l'algorithme dans CSR).

Il faut ensuite envoyer le nouveau CSR à l'autorité de certification qui émettra aussi rapidement que possible un nouveau certificat qui vous sera envoyé par e-mail. La date d'expiration et les autres paramètres restent inchangés.

Dois-je acheter un nouveau certificat pour pouvoir passer à SHA-2 ?

Non, pas du tout, vous pouvez gratuitement le faire réémettre. Voir section Comment effectuer la transition d'un certificat depuis SHA-1 vers SHA-2 ?

Chrome affichera un avertissement pour les certificats SHA-1. Lequel ?

Dans sa version 39-41, le navigateur Google Chrome commencera à avertir sur les certificats SHA-1 dont la validité est jusque 2017 ou plus tard. Google ne veut pas que les certificats SHA-1 soient encore utilisés après 2016. Vous trouverez plus d'informations à ce sujet dans l'article Google Chrome et certificats SHA-1 - fin du support.

Microsoft va également arrêter de supporter les certificats SHA-1. Quand cela va-til se passer ?

La société Microsoft arrêtera de supporter les certificats SHA-1 (y compris Code Signing) sur ses produits après l'année 2016 (c'est-à-dire à compter du 1er janvier 2017). Le système n'acceptera plus Code signing sans horodatage certifié après le 1er janvier 2016. Microsoft souhaite que les CA arrêtent d'émettre des certificats SSL avec SHA-1 après le 1er janvier 2016.

Vous trouverez la position de Microsoft sur son blog PKI dans l'article  SHA1 Deprecation Policy.

Existera-t-il des certificats intermédiaires avec SHA-2 et où puis-je les trouver ?

Les autorités de certification mettent évidemment à disposition de nouveaux certificats intermédiate qui utilisent SHA-2. Vous les trouverez dans l'é-mail d'émission de SSLmarket si votre certificat a bien été émis avec SHA-2. SSLmarket garantit que ces certificats intermédiaires sont bien justes et actuels pour chaque commande. Depuis le 15 septembre 2014, les systèmes des AC sont prêts à traiter les demandes de réémissions et à renvoyer les certificats intermédiaires SHA-2 corrects.

Vous pouvez les télécharger directement sur le wev des autorités de certification :

De façon générale, les certificats intermédiaires peuvent utiliser tant un certificat racine SHA-1 de l'autorité qu'un certificat SHA-2. Vous trouverez les deux versions sur les liens ci-dessus indiqués.

Existera-t-il de nouveaux certificats racines avec SHA-2?

Oui, ils existent déjà et vous les trouverez dans les liens ci-dessous. Avec le certificat intermédiaire correspondant, il est possible d'utiliser tant les certificats racines SHA-2 que SHA-1.

Si le certificat SHA-2 utilise un certificat intermédiaire SHA-2 mais un certificat racine SHA-1, l'ensemble sera digne de confiance et fonctionnel (cela devrait être vrai dans Chrome également).

Certains visiteurs peuvent-ils rencontrer des problèmes avec le certificat SHA-2?

Seuls les visiteurs ayant un logiciel très ancien peuvent rencontrer des problèmes. Un exemple concerne Windows XP avec SP2, le support pour SHA-2 a été complété dans SP3. Android supporte SHA-2 depuis la version  2.3.

Puis-je tester le support des certificats SHA-2 dans le navigateur?

Oui, vous pouvez utiliser la page d'essai  Symantec SHA256 SSL Page. Si elle apparaît dans le navigateur, la compatibilité avec SHA-256 est vérifiée.


Vous avez des problèmes ou des incertitudes ? N'hésitez pas à prendre contact avec le service de support de SSLmarket.