IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Internet Discussion :

Google met fin au support de SHA-1 dans Chrome


Sujet :

Internet

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 325
    Points
    252 325
    Billets dans le blog
    117
    Par défaut Google met fin au support de SHA-1 dans Chrome
    Google met fin au support de SHA-1 dans Chrome
    la firme accélère la mort de l’algorithme de hachage cryptographique

    Google vient d’annoncer dans un billet de blog qu’il n’offrira plus la prise en charge de l’algorithme de hachage cryptographique SHA-1 (Secure Hash Algorithm).

    Pour rappel, SHA-1 est une solution de sécurité qui avait été développée en 1995 par l’agence nationale de sécurité des États-Unis (NSA). La fonction de hachage avait été publiée comme un standard fédéral de traitement de l’information par le NIST (National Institute of Standards and Technology).

    SHA-1 se compose d’un ensemble de fonctions de hachage cryptographique dont le but est d’assurer la fiabilité des certificats SSL. Au fil du temps et avec l’évolution de l’industrie de l’IT, SHA-1 a commencé à montrer des faiblesses. Le NIST avait averti en 2005 que SHA-1 n’était pas assez sûr et avait adopté il y a deux ans son successeur SHA-3.

    Pour Google, les attaques par collision peuvent de nos jours être effectuées plus facilement et à moindre coût, et SHA-1 n’offre pas un moyen de protection suffisant. Lors d’une attaque par collision, un faux certificat SSL qui donne l’impression qu’il provient d’une autorité de certification peut être produit. Le hachage SHA-1 ne permettrait pas de distinguer le hachage du certificat officiel.

    Selon le calendrier publié par Google, à partir de Chrome 39, dont la version finale est annoncée pour novembre prochain, les sites Web sécurisés (HTTPS) qui ont des certificats qui expirent le 1er janvier 2017 et qui ont été signés avec SHA-1, seront marqués comme « sûrs, mais avec des erreurs mineures ». Ces sites seront identifiables par un cadenas avec un triangle jaune.


    Avec Chrome 40, dont la bêta sortira le 7 novembre 2014 et la version finale en décembre, les certificats qui expirent entre le 1er juin 2016 et décembre 2016 seront marqués « sûrs, mais avec des erreurs mineures ».

    À partir de Chrome 41, qui sortira le premier trimestre de 2015, pour les certificats qui expirent le 1er janvier 2017 et qui ont été signés avec SHA-1, Chrome affichera un indicatif qui stipule que ces certificats n’assurent pas de sécurité. Ces sites seront identifiables par un cadenas avec une croix rouge et une ligne rouge qui barre « HTTPS » dans la barre d’adresse.


    Il faut noter que Microsoft avait déjà annoncé en novembre de l’année dernière qu’il allait commercer à retirer le support de SHA-1 dans son programme de certification à partir du 1er janvier 2016, et qu’il mettra fin à la prise en charge des certificats SSL SHA-1 à compter du 1er janvier 2017.


    Source : Google


    Et vous ?

    Utilisez-vous encore SHA-1 sur vos sites ? Que pensez-vous de cette décision de Google ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 728
    Points
    4 728
    Billets dans le blog
    6
    Par défaut
    perso pour mes sites j'ai toujours mis SHA-2 histoire d'être sûr
    Rien, je n'ai plus rien de pertinent à ajouter

  3. #3
    Membre extrêmement actif
    Avatar de Aurelien Plazzotta
    Homme Profil pro
    .
    Inscrit en
    juillet 2006
    Messages
    312
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : juillet 2006
    Messages : 312
    Points : 920
    Points
    920
    Par défaut
    Pourquoi les certificats cryptés en SHA-1, qui ne sont d'ores et déjà plus sûrs, sont-ils maintenus pendant encore 2 ans et 3 mois ?

    La NIST a pourtant jeté un billet d'alerte il y a 7 ans maintenant...

    J'imagine que c'est nécessairement une histoire de gros sous, mais quelqu'un connaît-il la connexion exacte entre les entités délivrantes de certificats de sécurité et les éditeurs de navigateurs internet?

    EDIT :
    merci TiranusKBX
    Je porte l'épée brisée, et sépare les vrais rois des tyrans. Qui suis-je ?

  4. #4
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 728
    Points
    4 728
    Billets dans le blog
    6
    Par défaut
    les éditeurs de navigateurs sont payés par la CA pour faire partie des tiers de confiance du navigateur,
    pareil pour les mettre dans un système(windows,mac,consoles de jeu, ...)
    Rien, je n'ai plus rien de pertinent à ajouter

  5. #5
    Membre confirmé
    Homme Profil pro
    retraité
    Inscrit en
    avril 2009
    Messages
    253
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 89
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : Associations - ONG

    Informations forums :
    Inscription : avril 2009
    Messages : 253
    Points : 458
    Points
    458
    Par défaut Un jouet mental

    Un jouet mental anarchiquement vôtre !

  6. #6
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    1 034
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 034
    Points : 25 317
    Points
    25 317
    Par défaut Google envisage l’abandon précoce du support SHA-1 dans Chrome
    Google envisage l’abandon précoce du support SHA-1 dans Chrome
    et met en avant la date du 1er juillet 2016 comme Mozilla

    Il est notoire que les certificats SHA-1 ne sont plus considérés comme aussi sûrs que par le passé. Et pour cause, les moyens pour concevoir des certificats identiques à ceux générés authentiquement par les autorités de délivrance de certificats s’accélèrent de plus en plus.

    En 2012, Bruce Schneier prédisait qu’en tenant compte des avancées au niveau de la puissance des processeurs, des entités pourraient utiliser la puissance de calcul disponible sur le cloud pour casser l’algorithme SHA-1.

    Et si l’évolution technologique progresse au rythme actuel, cette éventualité serait possible en 2018 en déboursant environ 173 000 dollars et en 2021 ce montant passerait à 43 000 dollars. En sus, il se trouve que certains chercheurs ont même déjà pu générer des collisions avec des machines dont les ressources sont bien inférieures aux chiffres avancés par les calculs de Schneier. Tous ces risques ont incité les entreprises à migrer vers des certificats plus sûrs tels que SHA-2 ou encore SHA-3.

    Les éditeurs de navigateurs qui ne sont pas en reste ont déjà annoncé plusieurs mesures à ce sujet. Mozilla qui avait fixé la date d’abandon du support du standard SHA-1 à partir du 1er janvier 2017 a finalement rapproché cette date au 1er juillet 2016 en raison des risques énormes courus.

    Environ une semaine plus tard, Microsoft qui avait également envisagé de ne plus supporter SHA-1 à partir du 1er janvier 2017 a suivi le pas en ramenant cette date au 1er juin 2016.

    Google non plus n’est pas restée silencieuse sur la question. Depuis l’an dernier, des annonces avaient été faites afin de faire savoir que le navigateur Chrome ne supporterait plus l’ensemble des certificats SHA-1 à partir du 1er janvier 2017.

    Mais avant cette date, la version 48 de Chrome qui sortira en début d’année 2016 affichera une erreur de certificat si un site utilisait un certificat SHA-1 délivré après le 1er janvier 2016. Toutefois, cette occurrence risque de ne pas survenir, car les autorités de délivrance de certificats ont elles-mêmes décidé de ne plus délivrer de certificats SHA-1 une fois l’année 2015 achevée.

    En tenant compte du précédent message, toute l’année 2016 sera donc utilisée pour amener les utilisateurs de SHA-1 à migrer vers les nouveaux certificats. Après cette année, tout site utilisant ce certificat sera automatiquement bloqué par Chrome.

    Aussi, vu l’ampleur des risques liés à ce certificat, Google annonce qu’elle envisage de déplacer la date d’abandon du support de cette norme « au 1er juillet 2016 ». Si cette mesure est appliquée, cela fera le second éditeur qui aura choisi la même date, à commencer par Mozilla.

    Google souligne par ailleurs que cet algorithme de hachage n’est pas le seul élément que le navigateur ne supportera plus. En effet, certaines fonctionnalités du protocole de sécurité TLS sont considérées comme trop faibles. Chrome ne supportera donc plus l’algorithme de chiffrement RC4 contenue dans les connexions TLS à partir de la version 48 afin d’assurer la sécurité des utilisateurs. Microsoft et Mozilla ont fait des annonces similaires dans ce sens afin de ne plus supporter RC4 également.

    Toutefois, alors que toutes les entreprises poussent vers la porte de sortie les certificats SHA-1, Facebook et Cloudflare proposent des solutions qui prennent le contrepied de cette dynamique. Ces dernières exhortent les sites web à continuer à supporter la norme SHA-1 afin de ne pas pénaliser une catégorie d’utilisateurs qui ne disposent pas de navigateurs et autres applications prenant en charge avec le nouveau standard SHA-2 pour la sécurisation des connexions en ligne.

    Source : Blog Google

    Et vous ?

    Que pensez-vous de cette volonté d’abandonner précocement le support de SHA-1 dans Chrome ?

    Voir aussi

    Forum Internet
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 7
    Dernier message: 16/11/2013, 12h37
  2. Google Analytics met fin au support d’Internet Explorer 8
    Par Hinault Romaric dans le forum Webmarketing
    Réponses: 6
    Dernier message: 20/09/2013, 06h58
  3. Canonical met fin au support d’Ubuntu 11.04
    Par Hinault Romaric dans le forum Ubuntu
    Réponses: 12
    Dernier message: 31/10/2012, 16h12
  4. iGoogle : Google met fin à son Netvibes maison
    Par Hinault Romaric dans le forum APIs Google
    Réponses: 11
    Dernier message: 13/07/2012, 15h56
  5. Réponses: 29
    Dernier message: 09/08/2011, 13h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo