Google, Microsoft et Mozilla bloqueront les certificats SHA-1 en début d’année prochaine

La plupart des éditeurs de navigateurs ont décidé d’arrêter le support de l’algorithme de hachage SHA-1 au cours de l’année prochaine. Chez Microsoft, le blocage commencera en février prochain, pour Edge et Internet Explorer 11. Il y aura cependant des exceptions.

SHA-1 est un protocole de hachage cryptographique qui a été longtemps utilisé, notamment pour les certificats numériques de sécurité. Créé initialement par la NSA, il est depuis des années considéré comme manquant de résistance face à des attaques soutenues par des moyens importants. Il est largement dépassé par SHA-2 et 3.

À l’heure actuelle, il est toujours supporté par les navigateurs, qui acceptent de négocier des connexions sécurisées (HTTPS) avec les sites présentant de tels certificats. La situation va cependant commencer à évoluer dans les prochains mois, puisque Google, Microsoft et Mozilla notamment se sont mis d’accord pour arrêter ce support en 2017.

Microsoft : blocage non absolu des sites web

Chez Microsoft, on connait désormais le plan de bataille. À compter du 14 février prochain, Edge et Internet Explorer 11 ne négocieront plus les connexions sécurisées si les certificats TLS rencontrés sont de type SHA-1. Ce blocage n’est cependant pas définitif : si l’utilisateur décide qu’il peut sans risque se rendre sur ces sites – par exemple parce qu’il n’y connecte et n’y achète rien – il peut outrepasser l’erreur « Certificat invalide », même si ce choix n’est pas recommandé.

Voilà pour le principe général. Cependant, il y a un certain nombre de précisions à apporter. La plus importante est que ce blocage ne concerne que les certificats SHA-1 liés aux certificats racine auxquels Microsoft fait confiance. Conséquence, tous ceux qui ont été auto-signés ou installés manuellement dans les entreprises ne sont pas concernés. Les certificats auto-signés représentent un danger, mais Microsoft ne veut pas casser complètement la compatibilité en entreprise, où sa présence est très forte.

D’autre part, les mises à jour déployées dans le Patch Tuesday de novembre contiennent les éléments nécessaires aux tests que peuvent réaliser les entreprises et développeurs pour vérifier le comportement de leurs certificats. Microsoft a mis en place des instructions dans la FAQ de son annonce.

Vieux navigateurs, authentification des clients, applications...

Il faut encore ajouter que ces blocages ne concernent qu’Edge et Internet Explorer 11, et aucune autre version du navigateur. Ceux qui sont encore sur un vieux système, comme Windows XP ou Vista, ne sont donc pas concernés par cette mesure. Le choix peut se comprendre pour le bien vieux XP, mais moins pour Vista, qui est toujours en phase de support étendu et soumis aux mêmes menaces au sens large. Windows 7 et 8.1 peuvent tous les deux installer Internet Explorer 11, Edge étant réservé à Windows 10.

Enfin, quelques autres utilisations de certificats SHA-1 ne sont pas non plus concernées. Par exemple, les authentifications de machines dans les réseaux continueront de fonctionner. Là encore, les entreprises auraient eu moins de trois mois pour réagir sur un point aussi crucial. Au niveau du système d’exploitation lui-même, les applications se servant des API de cryptographie Windows ne seront pas non plus concernées.

La liste des éléments bloqués et laissés tranquilles sera en fait intégrée dans une mise à jour. Le 14 février correspond en effet au deuxième mardi de ce mois, donc du Patch Tuesday. Ce changement sera répercuté sur tous les Windows depuis la version 7.

Google et Mozilla : même combat, mêmes décisions

Notez que ce changement est la conséquence d’une concertation entre les trois principaux éditeurs de navigateurs. Google a annoncé il y a une semaine que le support de SHA-1 s’arrêterait avec Chrome 56, avec le même fonctionnement que pour Microsoft : blocage des sites, possibilité d’outrepasser l’avertissement, et pour les entreprises de garder leurs certificats auto-signés. À l’exception que la règle de Chrome autorisant ce support sera supprimée le 1er janvier 2019, un temps que Google estime raisonnable pour se préparer à l’abandon définitif du vieux protocole.

Mozilla sera cependant le premier à bloquer ces certificats, puisque c’est Firefox 51 qui s’en chargera. La mouture 50 était à peine sortie, le prochain Firefox arrivera début janvier. Là encore, les conditions sont exactement les mêmes, une souplesse globale qui répond sans doute d’un comportement défini durant les négociations entre les trois éditeurs. Selon Mozilla, cet arrêt devrait être assez transparent pour l’utilisateur, SHA-1 n’étant plus utilisé que par 0,8 % des sites (chiffre de mai 2016).