Navigateurs IE11 et Edge : Microsoft bannit finalement les certificats TLS signés en SHA-1

Dans le cadre de son programme de certification

Navigateurs IE11 et Edge : Microsoft bannit finalement les certificats TLS signés en SHA-1
Dans le cadre de son programme de certification

En 2015, les éditeurs de navigateurs ont pour la plupart annoncé l’abandon de la prise en charge de SHA-1. Dans le cadre de cette mouvance, Kyle Pflug, Program Manager chez Microsoft, avait déclaré via un billet de blog que « dans une mise à jour précédente de TechNet, nous avons annoncé que Windows va bloquer les certificats TLS signés en SHA-1 à compter du 1^er janvier 2017. À la lumière des récentes attaques sur l’algorithme SHA-1, nous envisageons d’accélérer le planning de dépréciation des certificats TLS signés en SHA-1 si possible dès juin 2016 ». Dans un nouveau billet de blog, la firme vient de donner des détails de ce planning de dépréciation des certificats TLS signés en SHA-1.

Le planning se décline en trois phases. Dans le cadre des deux premières phases qui ont débuté le 9 mai, il est question pour Microsoft d’attirer l’attention des utilisateurs sur les sites Web qui sécurisent encore leurs transactions à l’aide de certificats TLS signés en SHA-1. D’après ce que rapporte Microsoft, les navigateurs Internet Explorer 11 et Microsoft Edge ont été mis à jour pour fournir une expérience de navigation permettant d’atteindre ce but. Ainsi, lors d’une tentative d’accès à un site Web qui fait usage de certificats TLS signés en SHA-1, les utilisateurs auront droit à l’affichage d’une fenêtre d’avertissement (cf. image ci-dessous). Donc, l’accès (via Internet Explorer 11 et Microsoft Edge) à un site Web qui utilise des certificats TLS signés en SHA-1 est désormais bloqué par défaut.


La troisième phase qui, d’après Microsoft, commencera après ce mois de mai aura pour but d’étendre le bannissement de SHA-1 à tous ses contextes d’utilisation possibles au sein de ses systèmes d’exploitation. Il faut cependant préciser que les certificats TLS signés en SHA-1 qu’il est question de bannir sont ceux qui ont été certifiés dans le cadre du programme de certification de Microsoft dénommé Microsoft Trusted Root Program. Ceci suppose que les certificats autosignés (signés par un serveur local et non par un serveur de Microsoft) en SHA-1 peuvent être pris en charge par les navigateurs Internet Explorer et Microsoft Edge. Microsoft confirme cette possibilité au travers de la foire aux questions qui accompagne cette note d’information relative au bannissement des certificats signés en SHA-1.

Source : Technet

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Arrêtez d'utiliser SHA-1 ! Des chercheurs affirment être parvenus à casser l'algorithme de hachage, et recommandent des versions plus sécurisées
Google envisage l'abandon précoce du support SHA-1 dans Chrome, et met en avant la date du 1^er juillet 2016 comme Mozilla
Google annonce la fin du support de SHA-1 dans Chrome, la firme accélère la mort de l'algorithme de hachage cryptographique