Google, Microsoft et Mozilla bloqueront les certificats SHA-1 en début d’année prochaine
Un peu en janvier, un peu en février
Le 21 novembre 2016 à 13h00
4 min
Logiciel
Logiciel
La plupart des éditeurs de navigateurs ont décidé d’arrêter le support de l’algorithme de hachage SHA-1 au cours de l’année prochaine. Chez Microsoft, le blocage commencera en février prochain, pour Edge et Internet Explorer 11. Il y aura cependant des exceptions.
SHA-1 est un protocole de hachage cryptographique qui a été longtemps utilisé, notamment pour les certificats numériques de sécurité. Créé initialement par la NSA, il est depuis des années considéré comme manquant de résistance face à des attaques soutenues par des moyens importants. Il est largement dépassé par SHA-2 et 3.
À l’heure actuelle, il est toujours supporté par les navigateurs, qui acceptent de négocier des connexions sécurisées (HTTPS) avec les sites présentant de tels certificats. La situation va cependant commencer à évoluer dans les prochains mois, puisque Google, Microsoft et Mozilla notamment se sont mis d’accord pour arrêter ce support en 2017.
Microsoft : blocage non absolu des sites web
Chez Microsoft, on connait désormais le plan de bataille. À compter du 14 février prochain, Edge et Internet Explorer 11 ne négocieront plus les connexions sécurisées si les certificats TLS rencontrés sont de type SHA-1. Ce blocage n’est cependant pas définitif : si l’utilisateur décide qu’il peut sans risque se rendre sur ces sites – par exemple parce qu’il n’y connecte et n’y achète rien – il peut outrepasser l’erreur « Certificat invalide », même si ce choix n’est pas recommandé.
Voilà pour le principe général. Cependant, il y a un certain nombre de précisions à apporter. La plus importante est que ce blocage ne concerne que les certificats SHA-1 liés aux certificats racine auxquels Microsoft fait confiance. Conséquence, tous ceux qui ont été auto-signés ou installés manuellement dans les entreprises ne sont pas concernés. Les certificats auto-signés représentent un danger, mais Microsoft ne veut pas casser complètement la compatibilité en entreprise, où sa présence est très forte.
D’autre part, les mises à jour déployées dans le Patch Tuesday de novembre contiennent les éléments nécessaires aux tests que peuvent réaliser les entreprises et développeurs pour vérifier le comportement de leurs certificats. Microsoft a mis en place des instructions dans la FAQ de son annonce.
Vieux navigateurs, authentification des clients, applications...
Il faut encore ajouter que ces blocages ne concernent qu’Edge et Internet Explorer 11, et aucune autre version du navigateur. Ceux qui sont encore sur un vieux système, comme Windows XP ou Vista, ne sont donc pas concernés par cette mesure. Le choix peut se comprendre pour le bien vieux XP, mais moins pour Vista, qui est toujours en phase de support étendu et soumis aux mêmes menaces au sens large. Windows 7 et 8.1 peuvent tous les deux installer Internet Explorer 11, Edge étant réservé à Windows 10.
Enfin, quelques autres utilisations de certificats SHA-1 ne sont pas non plus concernées. Par exemple, les authentifications de machines dans les réseaux continueront de fonctionner. Là encore, les entreprises auraient eu moins de trois mois pour réagir sur un point aussi crucial. Au niveau du système d’exploitation lui-même, les applications se servant des API de cryptographie Windows ne seront pas non plus concernées.
La liste des éléments bloqués et laissés tranquilles sera en fait intégrée dans une mise à jour. Le 14 février correspond en effet au deuxième mardi de ce mois, donc du Patch Tuesday. Ce changement sera répercuté sur tous les Windows depuis la version 7.
Google et Mozilla : même combat, mêmes décisions
Notez que ce changement est la conséquence d’une concertation entre les trois principaux éditeurs de navigateurs. Google a annoncé il y a une semaine que le support de SHA-1 s’arrêterait avec Chrome 56, avec le même fonctionnement que pour Microsoft : blocage des sites, possibilité d’outrepasser l’avertissement, et pour les entreprises de garder leurs certificats auto-signés. À l’exception que la règle de Chrome autorisant ce support sera supprimée le 1er janvier 2019, un temps que Google estime raisonnable pour se préparer à l’abandon définitif du vieux protocole.
Mozilla sera cependant le premier à bloquer ces certificats, puisque c’est Firefox 51 qui s’en chargera. La mouture 50 était à peine sortie, le prochain Firefox arrivera début janvier. Là encore, les conditions sont exactement les mêmes, une souplesse globale qui répond sans doute d’un comportement défini durant les négociations entre les trois éditeurs. Selon Mozilla, cet arrêt devrait être assez transparent pour l’utilisateur, SHA-1 n’étant plus utilisé que par 0,8 % des sites (chiffre de mai 2016).
Google, Microsoft et Mozilla bloqueront les certificats SHA-1 en début d’année prochaine
-
Microsoft : blocage non absolu des sites web
-
Vieux navigateurs, authentification des clients, applications...
-
Google et Mozilla : même combat, mêmes décisions
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 21/11/2016 à 14h28
Pourquoi bloquer et non pas juste considérer comme un site non sécurisé?
Le 21/11/2016 à 14h29
Un soucis avec les commentaires? " />
Le 21/11/2016 à 14h34
Je suis d’accord, retirer le petit cadenas serait plus efficace côté utilisateur. " />
Le 21/11/2016 à 14h35
Pas trop tôt
Le 21/11/2016 à 14h52
Au niveau du système d’exploitation lui-même, les applications se servant des API de cryptographie Windows ne seront pas non plus concernées.
Oui enfin si on considère que la reconnaissance des signatures numériques par le noyau n’est pas un problème d’API…
Vista oblige l’utilisation de SHA-1 pour les pilotes, lequel n’est plus autorisé sur Windows 10.
Le 21/11/2016 à 14h59
Car les éditeurs de navigateurs web n’obtiendraient pas l’effet espéré: faire changer les mauvaise pratiques dans la gestion des certificats et l’utilisation de technique de hashage plus efficientes. Cela fait depuis 2015 qu’ils ont prévenus du retrait de SHA1. On avait eu un processus similaire pour RC4.
Le 21/11/2016 à 15h09
Je sais franchement pas si l’utilisateur non technique fait la différence entre les 2.
Le 21/11/2016 à 15h45
internet is made of sha …
Le 21/11/2016 à 16h49
Le 21/11/2016 à 17h25
On devrait aussi bloquer les connexions HTTP en clair, et créer une diversification des moyens de faire autorité sur une connexion chiffrée pour éviter la centralisation qui impose une dépendance supplémentaire au web (ou Internet plus généralement).
Parce que là, pour chiffrer une connexion (publique, donc sans avoir transmis de certificat de manière privée), on doit faire confiance aux DNS + autorités, ça fait un peu trop, un champ DNS (qui existe déjà comme sécurité supplémentaire) et qui inclurait les données des certificats du domaine me semble suffisant (mais je ne suis pas expert en sécurité, donc il doit y avoir des problèmes que je ne connais pas).
(Il est difficile de faire autorité sur une adresse IP aujourd’hui.)
Le 21/11/2016 à 17h44
Ceux qui sont encore sur un vieux système, comme Windows XP ou Vista, ne sont donc pas concernés par cette mesure. Le choix peut se comprendre pour le bien vieux XP, mais moins pour Vista, qui est toujours en phase de support étendu et soumis aux mêmes menaces au sens large.
Le support de Vista s arrete le 11 avril 2017:
Microsoft
On pourrait penser à une mise à la retraite de Vista.Tout comme Vista, Windows Server2008 supporte IE9 max, et IE9 est le 2eme IE le plus populaire (6% de PDM vs 12% pour IE11)
http://marketshare.hitslink.com/browser-market-share.aspx?qprid=2&qpcust…
Windows Server 2008 est supporté jusqu’en 2020. Donc on peut penser que MS devra qd même proposer un patch pour IE9, au moins pour la variante WinServer2008
Le 21/11/2016 à 17h54
de même, IE10 est encore supporté pour Windows Server 2012.
MS est censé patché IE9 et 10 pour les 4 prochaines années en terme de sécurité (support étendu):
http://www.welivesecurity.com/2016/01/12/microsoft-ends-support-for-old-internet…
Reste donc à voir si la fin du support du SHA-1 va etre considéré comme un patch de sécurité pour le support étendu ou un patch fonctionnel réservé au support principal (IE10/Windows Server 2012 en principal jusqu’en janvier 2018)