Google annonce la fin du support de SHA-1 dans Chrome
La firme accélère la mort de l'algorithme de hachage cryptographique
Le 2014-09-08 12:27:01, par Hinault Romaric, Responsable .NET
Google vient d’annoncer dans un billet de blog qu’il n’offrira plus la prise en charge de l’algorithme de hachage cryptographique SHA-1 (Secure Hash Algorithm).
Pour rappel, SHA-1 est une solution de sécurité qui avait été développée en 1995 par l’agence nationale de sécurité des États-Unis (NSA). La fonction de hachage avait été publiée comme un standard fédéral de traitement de l’information par le NIST (National Institute of Standards and Technology).
SHA-1 se compose d’un ensemble de fonctions de hachage cryptographique dont le but est d’assurer la fiabilité des certificats SSL. Au fil du temps et avec l’évolution de l’industrie de l’IT, SHA-1 a commencé à montrer des faiblesses. Le NIST avait averti en 2005 que SHA-1 n’était pas assez sûr et avait adopté il y a deux ans son successeur SHA-3.
Pour Google, les attaques par collision peuvent de nos jours être effectuées plus facilement et à moindre coût, et SHA-1 n’offre pas un moyen de protection suffisant. Lors d’une attaque par collision, un faux certificat SSL qui donne l’impression qu’il provient d’une autorité de certification peut être produit. Le hachage SHA-1 ne permettrait pas de distinguer le hachage du certificat officiel.
Selon le calendrier publié par Google, à partir de Chrome 39, dont la version finale est annoncée pour novembre prochain, les sites Web sécurisés (HTTPS) qui ont des certificats qui expirent le 1er janvier 2017 et qui ont été signés avec SHA-1, seront marqués comme « sûrs, mais avec des erreurs mineures ». Ces sites seront identifiables par un cadenas avec un triangle jaune.
Avec Chrome 40, dont la bêta sortira le 7 novembre 2014 et la version finale en décembre, les certificats qui expirent entre le 1er juin 2016 et décembre 2016 seront marqués « sûrs, mais avec des erreurs mineures ».
À partir de Chrome 41, qui sortira le premier trimestre de 2015, pour les certificats qui expirent le 1er janvier 2017 et qui ont été signés avec SHA-1, Chrome affichera un indicatif qui stipule que ces certificats n’assurent pas de sécurité. Ces sites seront identifiables par un cadenas avec une croix rouge et une ligne rouge qui barre « HTTPS » dans la barre d’adresse.
Il faut noter que Microsoft avait déjà annoncé en novembre de l’année dernière qu’il allait commercer à retirer le support de SHA-1 dans son programme de certification à partir du 1er janvier 2016, et qu’il mettra fin à la prise en charge des certificats SSL SHA-1 à compter du 1er janvier 2017.
Source : Google
Et vous ?
Pour rappel, SHA-1 est une solution de sécurité qui avait été développée en 1995 par l’agence nationale de sécurité des États-Unis (NSA). La fonction de hachage avait été publiée comme un standard fédéral de traitement de l’information par le NIST (National Institute of Standards and Technology).
SHA-1 se compose d’un ensemble de fonctions de hachage cryptographique dont le but est d’assurer la fiabilité des certificats SSL. Au fil du temps et avec l’évolution de l’industrie de l’IT, SHA-1 a commencé à montrer des faiblesses. Le NIST avait averti en 2005 que SHA-1 n’était pas assez sûr et avait adopté il y a deux ans son successeur SHA-3.
Pour Google, les attaques par collision peuvent de nos jours être effectuées plus facilement et à moindre coût, et SHA-1 n’offre pas un moyen de protection suffisant. Lors d’une attaque par collision, un faux certificat SSL qui donne l’impression qu’il provient d’une autorité de certification peut être produit. Le hachage SHA-1 ne permettrait pas de distinguer le hachage du certificat officiel.
Selon le calendrier publié par Google, à partir de Chrome 39, dont la version finale est annoncée pour novembre prochain, les sites Web sécurisés (HTTPS) qui ont des certificats qui expirent le 1er janvier 2017 et qui ont été signés avec SHA-1, seront marqués comme « sûrs, mais avec des erreurs mineures ». Ces sites seront identifiables par un cadenas avec un triangle jaune.
Avec Chrome 40, dont la bêta sortira le 7 novembre 2014 et la version finale en décembre, les certificats qui expirent entre le 1er juin 2016 et décembre 2016 seront marqués « sûrs, mais avec des erreurs mineures ».
À partir de Chrome 41, qui sortira le premier trimestre de 2015, pour les certificats qui expirent le 1er janvier 2017 et qui ont été signés avec SHA-1, Chrome affichera un indicatif qui stipule que ces certificats n’assurent pas de sécurité. Ces sites seront identifiables par un cadenas avec une croix rouge et une ligne rouge qui barre « HTTPS » dans la barre d’adresse.
Il faut noter que Microsoft avait déjà annoncé en novembre de l’année dernière qu’il allait commercer à retirer le support de SHA-1 dans son programme de certification à partir du 1er janvier 2016, et qu’il mettra fin à la prise en charge des certificats SSL SHA-1 à compter du 1er janvier 2017.
Source : Google
Et vous ?
-
TiranusKBXExpert confirméles éditeurs de navigateurs sont payés par la CA pour faire partie des tiers de confiance du navigateur,
pareil pour les mettre dans un système(windows,mac,consoles de jeu, ...)le 08/09/2014 à 14:48 -
TiranusKBXExpert confirméperso pour mes sites j'ai toujours mis SHA-2 histoire d'être sûrle 08/09/2014 à 14:21
-
Aurelien PlazzottaMembre extrêmement actifPourquoi les certificats cryptés en SHA-1, qui ne sont d'ores et déjà plus sûrs, sont-ils maintenus pendant encore 2 ans et 3 mois ?
La NIST a pourtant jeté un billet d'alerte il y a 7 ans maintenant...
J'imagine que c'est nécessairement une histoire de gros sous, mais quelqu'un connaît-il la connexion exacte entre les entités délivrantes de certificats de sécurité et les éditeurs de navigateurs internet?
EDIT :
merci TiranusKBXle 08/09/2014 à 14:40 -
byrautorMembre éclairé
Un jouet mental anarchiquement vôtre !
le 13/09/2014 à 9:54