BT

Accueil InfoQ Actualités Chrome établit une date d'expiration du SHA-1

Chrome établit une date d'expiration du SHA-1

Favoris

Les algorithmes de hachage cryptographique peuvent se révéler dépassés à partir d'un moment à cause de l'accroissement de la puissance de calcul disponible pour des attaques de force brute, et à cause des faiblesses dans leur algorithme ou leur implémentation. Comme Google le remarque, l'algorithme SHA-1 a des faiblesses connues, tel que Bruce Schneider l'a décrit dans un article de blog.

Au vu de la facilité croissante avec laquelle ces attaques peuvent se mettre en place, diverses organisations ont déjà arbitré contre l'utilisation du SHA-1, dont l'Institut National Américain des Standards et de la Technologie. Le navigateur web Chrome de Google va maintenant rejoindre ces organisations en changeant la manière d'afficher les sites qui utilisent les certificats HTTPS avec des signatures SHA-1.

Pour éviter de déstabiliser les utilisateurs qui s'appuyent sur la présence de support SHA-1, Chrome introduira des modifications par étapes successives dont la première alertera les utilisateurs sur l'expiration prochaine du SHA-1 et culminera avec un gros icône "X" dans la barre d'adresse. Bien que les utilisateurs pourront encore naviguer sur les sites qui utilisent SHA-1, Chrome indiquera visuellement qu'ils sont moins surs que les sites qui ont changé de SHA-1 en quelque chose de plus sécurisé.

Google a défini le prochain planning basé sur les points de branchement de Chrome :

  • Chrome 39 (point de branchement 26 septembre 2014) : Les sites dont les certificats d'entité finale ("feuilles") expirent le ou après le 1er janvier 2017 et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "sécurisé, avec des erreurs mineures".
  • Chrome 40 (point de branchement 7 novembre 2014 ; stable après les vacances) : Les sites dont les certificats d'entité finale expirent entre le 1er juin 2016 et le 31 décembre 2016 (compris) et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "sécurisé, avec des erreurs mineures". Ceux dont les certificats d'entité finale expirent le ou après le 1er janvier 2017 et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "neutre, sans sécurité".
  • Chrome 41 (point de branchement au premier trimestre 2015) : Les sites dont les certificats d'entité finale expirent entre le 1er janvier 2016 et le 31 décembre 2016 (compris) et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "sécurisé, avec des erreurs mineures". Ceux dont les certificats d'entité finale expirent le ou après le 1er janvier 2017 et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "confirmé comme non sécurisé". Les sous-ressources de tels domaines seront traités comme "contenu mélangé".

A noter que les dates de publication du navigateur Chrome référencées ci-dessus ont tendance à suivre la date du point de branchement de 6 à 8 semaines. De cette manière, la version 39 de Chrome est attendue pour novembre 2014, la version 40 pour janvier 2015 et la version 41 pour le premier trimestre 2015.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

BT

Votre profil est-il à jour? Merci de prendre un instant pour vérifier.

Note: en cas de modification de votre adresse email, une validation sera envoyée.

Nom de votre entreprise:
Rôle dans votre entreprise:
Taille de votre entreprise:
Pays/Zone:
État/Province/Région:
Vous allez recevoir un email pour confirmer la nouvelle adresse email. Ce pop-up va se fermer de lui-même dans quelques instants.