Qu’est-ce que SHA?
SHA, ou Secure Hash Algorithm, est un algorithme de hachage utilisé dans les connexions sécurisées pour prouver l’intégrité et l’authenticité d’un message au destinataire. L’algorithme SHA est l’algorithme de hachage par défaut défini dans les certificats SSL.
Qu’est-ce que SHA-1?
SHA-1 est un algorithme produisant une empreinte digitale de 160 bits lorsqu’il est utilisé sur un message.
C’était la norme jusqu’à présent pour les connexions sécurisées. Cependant SHA-1 a été adopté en 1995, il y a longtemps dans les années Internet. Pensez à l’ordinateur que vous utilisiez en 1995! Les énormes progrès technologiques et les développements de la cryptographie depuis lors exercent une pression sur SHA-1, et il s’est avéré peu fiable.
Ses jours sont comptés et l’industrie SSL migre vers SHA-2. À partir du 1er janvier 2017, les certificats SSL utilisant SHA-1 ne seront plus reconnus par les navigateurs Web et les systèmes d’exploitation, les rendant inutiles. La plupart des principaux navigateurs (Chrome, Safari, Mozilla, Opera) ont exprimé leur soutien a ce changement.
Qu’est-ce que SHA-2?
SHA-2 est un ensemble de fonctions de hachage, notamment SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 et SHA-512/256.
La fonction de hachage la plus couramment utilisée est SHA-256. Donc, d’une manière générale, SHA-2 = SHA-256.
Il fonctionne de la même manière que SHA-1, mais produit une empreinte plus longue lorsqu’il est utilisé sur un message. Passer de SHA-1 à SHA-2 augmentera la sécurité et la sûreté en ligne.
Mais ce n’est pas mauvais du tout, et pas de panique.
Le dur labeur requis pour passer de SHA-1 à SHA-2 a déjà été pris en charge. SHA-2 est largement pris en charge par la plupart des navigateurs, clients de messagerie et appareils mobiles, ce qui rend la transition relativement sans tracas.
Qu’est-ce que cela signifie pour mon certificat SSL?
L’algorithme SHA-1 est défini par défaut dans votre certificat SSL au moment de l’achat, sauf indication contraire. Dans tous les cas, votre certificat SSL doit utiliser SHA-2 à partir du 1er janvier 2017, et toutes les autorités de certification s’assurent actuellement que vous pouvez désormais acheter des certificats SHA-2. Si vous avez choisi d’être conforme PCI, notez que SHA-2 est un élément requis par l’autorité en charge de cette norme (Payment Card Industry Security Standards Council).
Vous avez trois options principales selon votre situation:
Si votre certificat expire avant le 1er janvier 2016: vous pouvez toujours obtenir un certificat SHA-1, mais sa période de validité ne peut pas aller après le 1er janvier 2017.
Si votre certificat expire entre le 1er janvier 2016 et le 1er janvier 2017: vous n’aurez pas d’autre choix que de commander un certificat SHA-2, mais votre certificat SHA-1 reste valable jusqu’au 31 décembre 2016.
Si votre certificat SSL expire après le 1er janvier 2017: après cette date, les systèmes d’exploitation Microsoft cesseront de faire confiance à votre certificat SSL et les navigateurs Web feront de même. Tout utilisateur essayant de se connecter à votre serveur recevra le message d’avertissement suivant:
L’algorithme SHA-2 n’entraîne aucun coût supplémentaire.
Y a-t-il des problèmes de compatibilité?
SHA-2 présente certains problèmes de compatibilité avec Windows XP Service Pack 2 et les versions précédentes. Avant de passer à SHA-2, assurez-vous que votre organisation et votre réseau sont entièrement compatibles avec SHA-2: vérifiez que toutes vos plateformes, navigateurs Web et systèmes d’exploitation sont à jour.
Bien que certains problèmes de compatibilité de navigateur existent, ils ne s’appliquent qu’aux très anciens navigateurs qui ne sont pas sûrs pour la navigation sur Internet.