L'algorithme de hachage cryptographique SHA-1, réputé pour sa vulnérabilité face aux avancées des attaques cryptographiques fait l'objet d'une dépréciation et sera remplacé par SHA-2. GlobalSign recommande fortement aux utilisateurs de migrer leurs certificats SHA-1 vers SHA-2 dès que possible et cessera d'émettre des certificats SHA-1 à partir de décembre 2015.
Dans notre dernier article, nous annoncions la publication de la nouvelle réglementation de Google qui affichera des messages d'alerte sur les sites sécurisés par des certificats SHA-1 sur le navigateur Chrome 39 (lancement prévu en novembre 2014). Afin d'assurer que les visiteurs de leurs sites web ne soient pas alarmés par ces messages d’alerte et continuent d'apprécier une expérience utilisateur optimale, les exploitants de sites web entreront bientôt dans la course pour se préparer à ce changement.
GlobalSign s'est engagé à aider ses clients et ses partenaires dans leur processus de migration, et c'est pourquoi nous avons mis au point cette stratégie en trois étapes qui fait également part de plusieurs conseils et considérations qui faciliteront votre démarche.
1. Identifiez vos certificats SHA-1
Faites d'abord un inventaire complet des certificats déployés sur vos réseaux, afin de déterminer combien d'entre eux utilisent SHA-1. Nous recommandons 2 méthodes pour vous aider à identifier vos certificats SSL.
Option Nº 1 : L'outil de test de serveur SSL GlobalSign
-
Rendez vous sur : https://globalsign.ssllabs.com/ et tapez votre nom de domaine.
-
Vous trouverez la signature et la date d'expiration de votre certificat dans la section « Authentification». Si la signature indique SHA-1, nous vous conseillons de le réémettre au plus vite.
Option Nº 2 : L'outil d'inventaire de certificats
-
L'inventaire de certificats est accessible via un portail en ligne facile à utiliser, aussi bien pour les certificats publics ou en tant qu'agent local pour repérer tous les certificats sur l'ensemble de votre réseau (interne et publique), quelle que soit l'AC qui les a émis.
-
Un rapport pré-existant sur les certificats SHA-1 est disponible, ce qui permet aux utilisateurs d'identifier les certificats SHA-1 en quelques minutes.
2. Remplacez vos certificats et déterminez si vos applications reconnaissent SHA-2 en priorité
Bien que GlobalSign recommande de remplacer tout certificat SSL SHA-1 le plus vite possible, déterminer une approche par priorité semble une approche plus abordable.
Par date d'expiration
L'essentiel est de remplacer en priorité tout certificat SHA-1 qui expirera en 2017, puis ceux qui expireront en 2016, et enfin ceux expirant avant, la raison étant que Google pénalisera d'abord les certificats qui expireront en 2017 ou après. Ce sera ensuite au tour des certificats expirant en 2016 d’être pénalisés.
Certificats publics
Il est aussi important que vous remplaciez d'abord les certificats utilisés sur des sites publics. Ceux-ci sont les plus vulnérables face à ce changement et risquent de perdre la confiance de vos visiteurs, en raison de la façon dont les certificats SSL SHA-1 seront désormais traités dans les navigateurs Chrome. Ci-dessous un exemple sur Chrome 41.
A lire : le dernier article de blog de Google qui affiche des impressions d'écran pour chaque étape.
Adoptez SHA-2
L'adoption de SHA-2 est de plus en plus courante, et la plupart des navigateurs, serveurs et applications les plus populaires reconnaissent déjà ce nouvel algorithme. Cependant, il en existe encore certains et certaines qui ne le reconnaissent toujours pas. Il vous faudra donc rechercher les applications que vous utilisez et vous assurez qu'elles reconnaissent SHA-2. Mettez si possible à niveau celles qui ne reconnaissent pas SHA-2. Dans le cas où il vous est impossible de les mettre à niveau, déterminez à quels serveurs ces applications sont connectées et quel sera l'impact d'un tel changement.
Si votre site web n'est pas accessible au public, vous pouvez continuer à utiliser un certificat SHA-1, au-moins jusqu'à ce que vous soyez en mesure de le mettre à niveau. Nos certificats IntranetSSL vous permettent d'émettre des certificats SHA-1 pour les serveurs internes à partir d'une racine non publique.
3. Echangez vos certificats multi-domaines et Wildcard
Si vous utilisez des certificats multi-domaines ou Wildcard, nous vous recommandons de les échanger contre plusieurs certificats pour chaque domaine et sous-domaine. Ceci vous permettra d'utiliser SHA-2 dans la plupart des cas, mais également de pouvoir continuer à utiliser SHA-1 pour les applications plus anciennes qui ne reconnaissent pas SHA-2, mais ce, uniquement sur les serveurs auxquels sont connectées ces applications.