SHA et les certificats

Pour valider la signature d’un certificat nous utilisons l’algorithme SHA. Celui ci se decline en plusieurs versions.

SHA-1 est la version la plus utilisé aujourd’hui pour signer la majorité des certificats SSL. Mais le risque de collision est de plus en plus grand (avec les performances grandissantes des ordinateurs).

Du coup SHA-1 doit être abandonné pour SHA-2 (plus précisement SHA-256 préconisé par la majorité des éditeurs de certificat).

Google tire le premier

Dans Chrome 41, prévu pour début Mars, l’affichage va changer.

Si votre certificat est signé avec SHA-1 et que sa date de fin de validité est avant 2017 alors une icone avec un triangle avertira vos visiteurs.

Pire ! Si votre certificat est signé avec SHA-1 et que sa date de fin de validité est après 2016 alors le certificat sera considéré comme dangereux, comme pour les certificats expirés.

Microsoft et Mozilla suivent

Janvier 2016, Microsoft n’acceptera plus du tout ces certificats.

Janvier 2017, Firefox fera de même.

Quand changer son certificat signé en SHA-1 ?

Maintenant ! Chrome est majoritairement utilisé dans beaucoup de pays (dont la France) et surtout il se met à jour de facon silencieuse.

Shaaaaaaaaaaaaa.com
Ce site vous permettra de vérifier très rapidement si votre certificat signé est en SHA-1 ou SHA-2.