Tags pour la question fréquent:
HTTPS SHA-1 SHA-2 SHA-256

Aidez-nous par évaluer cet article

Score de 0, basé sur 1 votes

Algorithmes SHA1, SHA2, et SHA256

Dernière mise à jour: 14/01/2016

SHA est un algorithme mathématique employé en SSL pour vérifier la validité de la signature d'un certificat. Il existe plusieurs déclinaisons de SHA: SHA-0, qui est obsolète et ne s'emploie plus, SHA-1, la version encore utilisée pour la majorité des certificats SSL, SHA-2, une version améliorée de l'algorithme, et SHA-3, paru en 2012.

L'algorithme SHA-2 comporte quatre versions, SHA-224, SHA-256, SHA-384 et SHA-512. L'algorithme SHA-256 est celui que les émetteurs de certificats et les navigateurs favorisent, et les terment SHA-2 et SHA-256 se confondent dans l'usage courant.

La puissance computationnelle des ordinateurs augmente de façon exponentielle, et la possibilité que l'on puisse générer un fichier qui résulte un un même résultat de contrôle via SHA-1 qu'un autre fichier devient réelle. Ce phénomène, appelé collision, permettrait de contourner la sécurité des certificats SSL, étant donné que l'on pourrait émettre des faux certificats qui seraient reconnus comme émis par un émetteur fiable. Ce faisant, Microsoft et Google, suivi par les autres développeurs de navigateurs, ont décidé d'éteindre la validité des certificats signés via SHA-1 progressivement.

Google a publié la politique suivante pour son navigateur Chrome:

Les certificats SSL signés avec SHA-1 avec validité au-delà du 31 décembre 2016 seront vu par le navigateur comme sûrs, mais avec quelques fautes de sécurité mineures. Visuellement, cela sera représenté par un triangle d'avertissement jaune dans la barre d'adresse:

Les certificats avec une signature SHA-1 qui viennent à échéance entre le 1er janvier 2016 et le 31 décembre 2016 seront vus comme sûrs, mais avec des fautes de sécurité.

Les certificats SHA-1 avec une validité jusqu'en 2017 seront affichés comme neutres, sans sécurisation, tout comme c'est le cas pour les sites http:// sans certificat SSL:

Les certificats SSL SHA-1 SSL avec une date de péremption avant le 1er janvier 2017 continuent à être identifiés avec le triangle d'avertissement.

Les certificats signés avec SHA-1 avec une validité passé le 1er janvier 2017 seront marqués comme dangereux, à l'instar de sites web avec un certificat non-valide ou périmé.:

Les Certificate Authorities n'émettront plus de certificats SHA-1 après le 31 décembre 2014. Vos demandes de nouveaux certificats après cette date s'effectueront toujours avec une signature SHA-256.

En renouvelant votre certificat SSL actuel, il faut veiller à bien demander la signature via SHA-256. Pour garantir la compatibilité avec des navigateurs obsolètes, il est encore possible d'émettre des certificats existants en SHA-1. Vous trouverez plus d'informations sur la page « compatibilité avec SHA-256 ».

Si votre certificat a une longue durée de validité, jusqu'en 2016 ou 2017, il se pourrait que vos internautes soient confrontés à des avertissement en visitant votre site. Dans ce cas, envisagez de faire ré-émettre votre certificat actuel en SHA-256. Si vous avez commandé votre certificat chez Kinamo, nous nous chargeons entièrement gratuitement de la ré-émission et de l'installation.

Vous n'êtes pas client chez Kinamo? Aucun souci, la plupart des émetteurs de certificats ont des programmes alléchants en cas de migration d'un concurrent, et vous offrent d'ajouter la durée de validité d'un certificat existant à votre nouveau certificat, parfois même en y ajoutant 30 jours gratuitement.