N’utilisez plus l’algorithme SHA-1, utilisez plutôt le SHA-2

Certains d’entre vous ont certainement remarqué que même si votre certificat SSL est bien installé, et que l’accès HTTPS se passe sans problème, Google Chrome affiche quelques fois un petit triangle jaune à côté de l’adresse de votre site web sécurisé, là où il doit afficher un cadenas vert fermé qui atteste la sécurité de votre site web. Cet article est pour clarifier cela pour vous.

La raison de cet affichage peu attendu réside dans l’algorithme de cryptage utilisé pendant la génération de votre certificat SSL ! La plupart des certificats générés ces dernières années, a été effectué en utilisant l’algorithme SHA-1, souvent proposé par défaut par quelques éditeurs.

SHA-1 vs. SHA-2 !

L’algorithme cryptographique SHA-1 a été créé il y a près de 20 ans et il est l’un des fonctions de hachage les plus couramment utilisés pour les sites web qui sont protégés en SSL. Une des parties les plus importantes de la sécurité des certificats SSL est naturellement l’algorithme de signature. SHA-1 s’affaiblit chaque jour et il est fréquemment exposé à des attaques dans lesquelles les pirates peuvent obtenir des certificats frauduleux. Le problème est que SHA-1 est encore largement utilisé. Côté nombres, l’algorithme de signature SHA-1 est effectué sur un maximum de 160 bits, alors que la force SHA-2 commence à 256 bits et peut obtenir jusqu’à 512 bits, ce qui est nettement plus fort.

Et les navigateurs ?

Selon le W3Schools, Google Chrome est le navigateur le plus utilisé, il est utilisé sur 60% des consultations sur le web. Google a annoncé que tous les sites dont le certificat SSL utiliseraient SHA-1 et qui seront actifs jusqu’au 1er Janvier 2017, ne seront plus digne de confiance dans l’interface utilisateur de Chrome. Heureusement, il est temps pour vous de faire la migration de tous vos certificats actuels et futurs. Pour les entreprises qui ne font pas le changement, vous serez affecté de la manière suivante. D’abord, les avertissements seront limités à une icône « Sécurisé, mais des erreurs mineures », sous la forme d’une serrure avec un triangle jaune. Mais dans les versions ultérieures de Chrome, cela va devenir une serrure barrée rouge.

degre-securite

Que pouvez vous faire ?

Commencez d’abord par tester si votre site web utilise SHA-1 ou SHA-2 à l’aide de ce SHA Quick Checker, ou bien utilisez ce Test plus détaillé. Ensuite, vérifiez si votre serveur accepte le SHA-2, (les serveurs ADK Media l’acceptent sans aucun soucis). Vous n’aurez pas à acheter un nouveau certificat SSL, vous devez juste le re-générer, et le réinstaller sur votre serveur.

Après le 1er janvier 2016, les autorités de certification ne délivreront plus de certificats basés sur SHA-1. D’ailleurs, les derniers certificats délivrés par Symantec, Comodo, Thawte, Geotrust ou RapidSSL utilisent SHA-2.



Lire aussi :

ADK Media ADK Media