BT
x Votre opinion compte ! Merci de bien vouloir répondre au sondage InfoQ concernant vos habitudes de lecture !

Microsoft ne reconnaîtra plus les certificats SSL et la signature de code basés sur SHA-1

par Jonathan Allen , traduit par Pierre Queinnec le 26 nov. 2013 |

Le NIST (National Institute of Standards and Technology) a recommandé que la fonction de hachage SHA-1 ne soit plus considérée comme sûre à partir de janvier 2014. Mais avec toujours 98% des certificats générés dans le monde basés sur ce standard, un changement immédiat n'est pas possible. Pour sa part, Microsoft a fait le choix de donner jusqu'au 1er janvier 2017 aux sites web pour remplacer leurs certificats SSL par une version plus sûre.

Les éditeurs d'applications qui doivent signer numériquement leur code sont aussi affectés. Ils ont jusqu'au 1er janvier 2016 pour acquérir et utiliser des nouveaux certificats de signature. "Les certificats de signature de code SHA1 qui ont un timestamp (horodatage) avant le 1er janvier 2016 seront acceptés jusqu'à cette date, à laquelle Microsoft considérera que SHA1 est vulnérable à une attaque en pré-image".

Ces politiques sont sujettes à revue en mi-2015. Deux des facteurs clefs qui peuvent affecter la ligne de conduite de Microsoft sont :

si SHA1 est toujours considéré comme résistant aux attaques en pré-image par la communauté de sécurité, et si une part significative de l'écosystème n'est pas capable de passer à SHA2. Les systèmes legacy et le monde de l'embarqué peuvent en particulier être concernés. Nous continuerons à analyser les données statistiques sur ces écosystèmes pour suivre la tendance.

Dans la rédaction actuelle de la Politique de Déprécation de SHA1, elle s'applique à Windows Vista, Windows Server 2008 et les OS suivants. Ceux qui sont toujours sous Windows XP auront au moins besoin de passer au Service Pack 3 afin d'utiliser SHA2. Enfin, le Service Pack 2 de Windows Server 2003 supporte aussi SHA2.

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Contenu Éducatif

Rien ne serait possible sans le soutien et la confiance de nos Sponsors Fondateurs:

AppDynamics   CloudBees   Microsoft   Zenika
Feedback Général
Bugs
Publicité
Éditorial
InfoQ.com et tous les contenus sont copyright © 2006-2014 C4Media Inc. InfoQ.com est hébergé chez Contegix, le meilleur ISP avec lequel nous ayons travaillé.
Politique de confidentialité
BT