Les certificats SHA-1 sont de plus en plus peu sûrs, donc les mesures prises par CloudFlare et Facebook pour maintenir le support SHA-1 peuvent sembler contre-intuitives. Cependant, les deux sociétés soutiennent que l'accès sécurisé de millions d'utilisateurs est en jeu.
UN ALGORITHME DE MOINS ET MOINS SÉCURISÉ
La Algorithme de hachage sécurisé 1 (SHA-1) est utilisé pour la signature de certificats depuis 1995 et est attendu depuis longtemps pour la retraite. Cracking SHA-1 permet aux chapeaux noirs de signer de fausses signatures sur leurs propres certificats, et les connexions HTTPS utilisant ces certificats frauduleux semblent tout à fait légitimes pour les visiteurs imprudents. SHA-1 est connu pour être vulnérable aux compromis par des attaquants disposant de ressources suffisantes (lire: parrainés par l'État) depuis un certain temps, mais la puissance de calcul que cela coûte était hors de portée pour la plupart des attaquants - jusqu'à récemment. UNE test en octobre 2015 a indiqué que SHA-1 peut maintenant être craqué pour environ le prix d'une Porsche Panamera - bien dans le budget de nombreuses organisations criminelles.
SHA-2 - PRINTEMPS AVANT
Mise à niveau vers SHA-2 certificats et la retraite SHA-1 a été fortement encouragée par les piliers de l'industrie comme Mozilla, Google et Microsoft. Aucune autorité de certification suivant les meilleures pratiques de l'industrie n'émettra de certificats SHA-1 après le 31 décembre 2015, et tous les principaux navigateurs rejetteront les connexions SHA-1 d'ici le 1er janvier 2017 (sinon plus tôt).
Le passage aux certificats SHA-2 fournira un Internet plus fort et plus sûr à long terme, mais dans un écosystème comptant plus de trois milliards d'utilisateurs, le retrait de SHA-1 causera forcément des maux de tête. Un nombre important d'utilisateurs utilisant des logiciels clients plus anciens ou hérités (en particulier les utilisateurs des pays en développement) seront confrontés à un choix difficile: des connexions HTTPS qui utilisent SHA-1 - ou pas de sécurité du tout.
SHA-1 - AUTOMNE
C'est pourquoi Facebook et CloudFlare mettent en œuvre leurs systèmes de secours SHA-1, conçus pour servir automatiquement les versions signées SHA-1 compatibles HTTPS de leurs sites aux visiteurs détectés à l'aide d'une technologie plus ancienne. Selon les calculs de CloudFlare, SHA-2 sécurise les connexions à 98.31% des navigateurs du monde - mais les 1.69% restants représentent toujours quelque 37 millions de personnes, concentrées dans les régions les plus pauvres et les plus répressives du monde, et accédant à Internet via une technologie moins avancée.
L'objectif déclaré des deux sociétés est d'observer les meilleures pratiques de l'industrie sans abandonner ce segment d'Internet limité aux connexions SHA-1. À cette fin, CloudFlare a également proposé la création d'une toute nouvelle catégorie de validation pour les certificats numériques en ajoutant un SHA-1 spécifique Validation d'héritage (LV) au canon existant de Domaine, organisation et validation étendue les types.
SSL.com va certainement, vraiment, définitivement vous tenir informé de l'avancement de cette proposition.