BT

Êtes-vous prêts pour InfoQ 3.0? Testez le nouveau design et dites-nous ce que vous en pensez!

Chrome établit une date d'expiration du SHA-1

| par Jeff Martin Suivre 19 Abonnés , traduit par Nicolas Frankel Suivre 10 Abonnés le 10 nov. 2014. Durée de lecture estimée: 2 minutes |

Les algorithmes de hachage cryptographique peuvent se révéler dépassés à partir d'un moment à cause de l'accroissement de la puissance de calcul disponible pour des attaques de force brute, et à cause des faiblesses dans leur algorithme ou leur implémentation. Comme Google le remarque, l'algorithme SHA-1 a des faiblesses connues, tel que Bruce Schneider l'a décrit dans un article de blog.

Au vu de la facilité croissante avec laquelle ces attaques peuvent se mettre en place, diverses organisations ont déjà arbitré contre l'utilisation du SHA-1, dont l'Institut National Américain des Standards et de la Technologie. Le navigateur web Chrome de Google va maintenant rejoindre ces organisations en changeant la manière d'afficher les sites qui utilisent les certificats HTTPS avec des signatures SHA-1.

Pour éviter de déstabiliser les utilisateurs qui s'appuyent sur la présence de support SHA-1, Chrome introduira des modifications par étapes successives dont la première alertera les utilisateurs sur l'expiration prochaine du SHA-1 et culminera avec un gros icône "X" dans la barre d'adresse. Bien que les utilisateurs pourront encore naviguer sur les sites qui utilisent SHA-1, Chrome indiquera visuellement qu'ils sont moins surs que les sites qui ont changé de SHA-1 en quelque chose de plus sécurisé.

Google a défini le prochain planning basé sur les points de branchement de Chrome :

  • Chrome 39 (point de branchement 26 septembre 2014) : Les sites dont les certificats d'entité finale ("feuilles") expirent le ou après le 1er janvier 2017 et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "sécurisé, avec des erreurs mineures".
  • Chrome 40 (point de branchement 7 novembre 2014 ; stable après les vacances) : Les sites dont les certificats d'entité finale expirent entre le 1er juin 2016 et le 31 décembre 2016 (compris) et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "sécurisé, avec des erreurs mineures". Ceux dont les certificats d'entité finale expirent le ou après le 1er janvier 2017 et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "neutre, sans sécurité".
  • Chrome 41 (point de branchement au premier trimestre 2015) : Les sites dont les certificats d'entité finale expirent entre le 1er janvier 2016 et le 31 décembre 2016 (compris) et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "sécurisé, avec des erreurs mineures". Ceux dont les certificats d'entité finale expirent le ou après le 1er janvier 2017 et incluent une signature basée sur SHA-1 dans la chaîne de certificats seront traités comme "confirmé comme non sécurisé". Les sous-ressources de tels domaines seront traités comme "contenu mélangé".

A noter que les dates de publication du navigateur Chrome référencées ci-dessus ont tendance à suivre la date du point de branchement de 6 à 8 semaines. De cette manière, la version 39 de Chrome est attendue pour novembre 2014, la version 40 pour janvier 2015 et la version 41 pour le premier trimestre 2015.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter
BT