Plans de Google pour les certificats SHA-1

Google prévoit de retirer les certificats SHA-1 - et ce sera peut-être plus tôt que prévu.

SHA-1 - En route pour le cimetière

La disparition de SHA-1 est certaine depuis une décennie - il a été démontré qu'il était théoriquement vulnérable aux attaques dès 2005. Les plans actuels élaborés par le CA / B Forum (l'association professionnelle de l'industrie) arrêteront la création de nouveaux certificats SHA-1 à compter du 1er janvier 2016 et abandonner toute utilisation de certificat SHA-1 avant le 1er janvier 2017.

Des études récentes suggèrent maintenant que SHA-1 sera compromis beaucoup plus tôt - et à un prix plus abordable - qu'on ne le pensait auparavant. Google et d'autres entreprises technologiques envisagent donc de repousser leurs échéances de retraite. (Un projet de proposition du forum CA / B visant à permettre la délivrance limitée de certificats SHA-1 jusqu'à la fin de 2016 a également été mis au repos - les spécialistes de la sécurité veulent que SHA-1 soit retiré du conseil dès que possible.)

Plan de retraite accélérée de Google

Google planifie un processus en deux étapes. Dans la première étape (déjà en cours), les certificats SHA-1 rencontrés par Chrome sont signalés par des messages d'avertissement et des signaux d'affichage. Le second - le rejet complet de tous les certificats SHA-1 - peut être reporté de six mois, au 1er juillet 2016.

Mozilla et Microsoft envisagent également cette échéance accélérée pour leurs navigateurs, tandis que CloudFlare et Facebook sont configuration de solutions de contournement pour le petit pourcentage de leurs utilisateurs qui n'ont pas d'alternative aux certificats SHA-1.

Revenez auprès de SSL.com - nous vous tiendrons au courant de l'évolution de cette histoire.

Abonnez-vous à la newsletter SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.