Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google envisage l'abandon précoce du support SHA-1 dans Chrome
Et met en avant la date du 1er juillet 2016 comme Mozilla

Le , par Olivier Famien

0PARTAGES

2  0 
Il est notoire que les certificats SHA-1 ne sont plus considérés comme aussi sûrs que par le passé. Et pour cause, les moyens pour concevoir des certificats identiques à ceux générés authentiquement par les autorités de délivrance de certificats s’accélèrent de plus en plus.

En 2012, Bruce Schneier prédisait qu’en tenant compte des avancées au niveau de la puissance des processeurs, des entités pourraient utiliser la puissance de calcul disponible sur le cloud pour casser l’algorithme SHA-1.

Et si l’évolution technologique progresse au rythme actuel, cette éventualité serait possible en 2018 en déboursant environ 173 000 dollars et en 2021 ce montant passerait à 43 000 dollars. En sus, il se trouve que certains chercheurs ont même déjà pu générer des collisions avec des machines dont les ressources sont bien inférieures aux chiffres avancés par les calculs de Schneier. Tous ces risques ont incité les entreprises à migrer vers des certificats plus sûrs tels que SHA-2 ou encore SHA-3.

Les éditeurs de navigateurs qui ne sont pas en reste ont déjà annoncé plusieurs mesures à ce sujet. Mozilla qui avait fixé la date d’abandon du support du standard SHA-1 à partir du 1er janvier 2017 a finalement rapproché cette date au 1er juillet 2016 en raison des risques énormes courus.

Environ une semaine plus tard, Microsoft qui avait également envisagé de ne plus supporter SHA-1 à partir du 1er janvier 2017 a suivi le pas en ramenant cette date au 1er juin 2016.

Google non plus n’est pas restée silencieuse sur la question. Depuis l’an dernier, des annonces avaient été faites afin de faire savoir que le navigateur Chrome ne supporterait plus l’ensemble des certificats SHA-1 à partir du 1er janvier 2017.

Mais avant cette date, la version 48 de Chrome qui sortira en début d’année 2016 affichera une erreur de certificat si un site utilisait un certificat SHA-1 délivré après le 1er janvier 2016. Toutefois, cette occurrence risque de ne pas survenir, car les autorités de délivrance de certificats ont elles-mêmes décidé de ne plus délivrer de certificats SHA-1 une fois l’année 2015 achevée.

En tenant compte du précédent message, toute l’année 2016 sera donc utilisée pour amener les utilisateurs de SHA-1 à migrer vers les nouveaux certificats. Après cette année, tout site utilisant ce certificat sera automatiquement bloqué par Chrome.

Aussi, vu l’ampleur des risques liés à ce certificat, Google annonce qu’elle envisage de déplacer la date d’abandon du support de cette norme « au 1er juillet 2016 ». Si cette mesure est appliquée, cela fera le second éditeur qui aura choisi la même date, à commencer par Mozilla.

Google souligne par ailleurs que cet algorithme de hachage n’est pas le seul élément que le navigateur ne supportera plus. En effet, certaines fonctionnalités du protocole de sécurité TLS sont considérées comme trop faibles. Chrome ne supportera donc plus l’algorithme de chiffrement RC4 contenue dans les connexions TLS à partir de la version 48 afin d’assurer la sécurité des utilisateurs. Microsoft et Mozilla ont fait des annonces similaires dans ce sens afin de ne plus supporter RC4 également.

Toutefois, alors que toutes les entreprises poussent vers la porte de sortie les certificats SHA-1, Facebook et Cloudflare proposent des solutions qui prennent le contrepied de cette dynamique. Ces dernières exhortent les sites web à continuer à supporter la norme SHA-1 afin de ne pas pénaliser une catégorie d’utilisateurs qui ne disposent pas de navigateurs et autres applications prenant en charge avec le nouveau standard SHA-2 pour la sécurisation des connexions en ligne.

Source : Blog Google

Et vous ?

Que pensez-vous de cette volonté d’abandonner précocement le support de SHA-1 dans Chrome ?

Voir aussi

Forum Internet

Une erreur dans cette actualité ? Signalez-le nous !