5 oct 2014
Google rêve d’un internet où tous les sites sont sécurisés. Au début du mois de septembre, Google a annoncé qu’ils ne feront plus confiance aux certificats SSL SHA-1 et débuteront l’implémentation transitionnelle d’avis de sécurité dans le fureteur Web Chrome. Lorsque la version 39 verra le jour (estimé au début novembre), le cadenas situé sur le HTTPS de la barre d’adresse s’affichera lorsque SHA-1 est utilisé.
D’autres fureteurs Web ont aussi annoncé qu’ils planifient l’arrêt du soutien de SHA-1 (Microsoft et Mozilla), mais aucun n’a élaboré un plan d’action comme Google.
Deviez-vous être inquiet? Non! Mais vous devriez savoir de quoi il s’agit et réagir en conséquence.
SSL est l’abréviation de « Secure Sockets Layer », un protocole qui permet d’effectuer une connexion sécurisée à un site Web. Il crypte la connexion entre le serveur et le client.
Lorsque vous voyez un « s » à la fin de HTTP, vous avez une indication que le site que vous visitez est sécurisé d’un certificat SSL.
Ces termes désignent un algorithme de cryptage. Lorsqu’un certificat SSL est créé, il contient un algorithme qui est censé être presque indéchiffrable. Jusqu’à tout récemment, SHA-1 était l’algorithme de prédilection utilisé par les autorités de certifications (CA), mais SHA-1 est devenu plutôt fragile et la plupart des CA ont commencé à offrir SHA-2 qui est plus coriace et déjà supporté un peu partout sur le Web.
Google a annoncé que les sites HTTPS qui ont un certificat utilisant une chaine SHA-1 et qui sont valides après le 1er janvier 2017 ne seront plus entièrement perçus dignes de confiance dans l’interface utilisateur Chrome. Alors, les utilisateurs de Chrome commenceront à voir des avertissements sur les sites qui utilisent des certificats SHA-1 à partir de décembre.
Il est donc possible que vous débutiez à rencontrer des sites qui ne sont plus de confiance, non pas parce qu’ils ne sont pas sécuritaires, mais parce que Google a déterminé qu’ils ne sont pas assez sécuritaires. Les experts sont d’accord avec cette nouvelle pratique, car SHA-1 est tout simplement plus assez bon.
Pour les propriétaires de site Web qui utilisent un certificat SSL, vous le savez aussi bien que moi que votre certificat rassure vos clients et vous permet d’être perçu comme une entreprise de confiance. Il est alors impératif que vous vous assuriez d’utiliser une chaine SHA-2. Pour déterminer cela, utilisez cet outil.
Si vous avez un certificat SHA-1, communiquez avec votre autorité de certification et demandez s’il est possible de livrer le certificat à nouveau avec la chaine SHA-2. La redélivrance d’un certificat est une pratique courante et ne devrait pas être compliquée. Vous devrez ensuite vous assurer de réinstaller votre certificat sur votre site/serveur.
Si vous avez un certificat SSL LC Production, nous offrons depuis un certain temps déjà des certificats SHA-2, mais nos premiers certificats utilisaient SHA-1. Si vous avez besoin que nous vous livrions votre certificat à nouveau, veuillez simplement communiquer avec notre équipe de soutien technique et nous aurons le plaisir de nous occuper de cela pour vous. Notre processus d’installation automatisé pourra ensuite être utilisé pour réinstaller le certificat sur votre plan d’hébergement très facilement.