Certificats SSL Aide

Informations sur la fonction de hachage SHA-2

Tous les certificats SSL qui utilisent SHA-1 doivent être resoumis immédiatement pour évolution vers SHA-2. SHA-1 présente des risques de sécurité, ce qui est contraire à l'objet des certificats SSL.

Informations complémentaires

Les certificats SSL brouillent (cryptent) la communication entre le serveur de votre site Web et le navigateur de votre visiteur de manière à ce que serveur et navigateur "ne se comprennent pas". Cette interférence empêche d'autres utilisateurs d'espionner les échanges serveur-navigateur et de capturer des informations que vous ne souhaitez pas divulguer (en particulier des informations généralement sécurisée telles que mots de passe ou numéro de carte bancaire). Ce cryptage se fait à l'aide d'une fonction de hachage.

Bien qu'ils assurent le cryptage d'informations de type différent, les certificats de signature de code utilisent également la même fonction de hachage pour "signer" le code exécutable publié par les développeurs. Si ce code est altéré par des personnes malintentionnées, la signature de hachage ne fonctionne plus et l'utilisateur est averti dès qu'il essaie d'exécuter ce code.

La fonction de hachage que nous avons généralement utilisée jusqu'au 23 décembre 2013 était SHA-1 (cette fonction a été associée aux certificats SSL depuis l'apparition de ceux-ci, dans les années 90).

Toutefois, avec l'augmentation de puissance des ordinateurs, il devient plus facile de décrypter les informations hachées en mode SHA-1. Pour cette raison, Microsoft® est à l'initiative d'une nouvelle orientation du secteur qui exigera que toutes les autorités de certification, y compris GoDaddy, se mettent utiliser SHA-2 comme fonction de hachage par défaut. Google est également impliqué dans cette initiative, et son navigateur Chrome® va bientôt avertir les visiteurs des problèmes potentiels de sécurité posés par les certificats en mode SHA-1.

Mon certificat doit-il utiliser SHA-2 ?

Les certificats que nous émettons avec une date d'expiration ultérieure au 1er janvier 2017 peuvent utiliser uniquement SHA-2.

Les certificats de signature de code avec dates d’expiration ultérieures au 31 décembre 2015 doivent également utiliser HA-2, excepté les certificats de code signés SHA-1, qui peuvent continuer à être utilisés pour signer des fichiers pour utilisation sur Windows Vista et les versions précédentes de Windows. Vous trouverez plus d’informations dans l’article de Microsoft Exécution Windows de la signature de code Authenticode et de l’horodatage.

Les certificats qui ont déjà été émis n'ont pas besoin de passer à SHA-2, mais cette évolution est fortement recommandée (en effet, le passage à SHA-2 protège les certificats sur la durée et améliore la sécurité de votre serveur). Pour passer à la fonction de hachage SHA-2, il suffit de resoumettre le certificat. Pour plus de détails, consultez : Générer une nouvelle clé pour mon certificat.