Attention : les certificats SSL SHA-1 seront bientôt dépréciés dans Chrome
Utilisez-vous encore un ancien certificat SHA-1 pour assurer la connexion sécurisée avec votre site web ? Dans ce cas, soyez vigilants, car Google réservera bientôt une mauvaise surprise à vos visiteurs !
Les ordinateurs sont de plus en plus puissants. Le simple ordinateur que le citoyen moyen possède aujourd’hui chez lui est infiniment plus puissant que les grandes salles d’ordinateurs qu’utilisaient les grandes entreprises dans les années 70 et 80. Mais cela n’est pas sans conséquences. Une fonction de hachage qui a été inventée en 1993, SHA1 (Secure Hash Algorithm), qui ne pouvait alors être crackée que par des ordinateurs avancés, peut aujourd’hui être crackée par les simples ordinateurs actuels, à condition de leur donner un petit ‘coup de pouce’.
Voilà pourquoi les tout nouveaux certificats SSL utilisent la fonction de hachage SHA256, qui est bien plus difficile à briser. Et il est bien entendu primordial que tous –fournisseurs de certificats (Certificate Authorities) et sites web – se rendent compte de la nécessité de ne plus fournir et implémenter que ces certificats-là.
Google a déjà annoncé qu’elle prendrait une mesure qui permettrait aux administrateurs de sites web de se rendre compte du problème – sans évidemment trop effrayer l’utilisateur. Dans la prochaine version du navigateur Chrome (version bêta 42), lorsqu’un utilisateur visitera un site web sécurisé qui utilise toujours SHA-1 et dont le certificat expire en 2016 ou plus tard, il pourra toujours accéder au site, mais il obtiendra l’affichage d’un avertissement l’informant du fait que le certificat ne le protège plus.
Déjà annoncé depuis longtemps, mais implémenté plus tôt que prévu
Google avait cependant déjà annoncé qu’elle envisageait d’adopter une telle mesure, mais le délai prévu pour l’implémentation concrète était à l’origine plus long. En effet, ce n’est qu’à partir de 2016 que le navigateur Chrome était censé afficher cet avertissement. Récemment, Google a cependant annoncé que les certificats SHA-1 qui expirent en 2016 seront eux aussi pénalisés.
Cette nouvelle a déclenché une vague de panique chez de nombreux administrateurs systèmes. Aucun site web ne peut en effet se permettre d’inquiéter les utilisateurs. Ces derniers s’attendent tout simplement à pouvoir p. ex. faire un achat en toute confiance lorsqu’ils se rendent sur un site web sécurisé. S’ils se retrouvent face à cet avertissement dans la barre d’adresses de leur navigateur, il y a de fortes chances qu’ils passent leur chemin. Pourtant, en septembre 2014, seuls 15 % de tous les sites web utilisaient SHA-256.
Que devez-vous faire concrètement ?
Si vous avez acheté un certificat via Combell, vous ne devez rien faire. Combell avait en effet anticipé cette évolution, et n’a plus vendu que des certificats SHA-256 depuis déjà quelque temps. Quant aux certificats plus anciens achetés via Combell, ils sont mis à jour gratuitement en arrière-plan. Bref, comme d’habitude, le client de Combell n’a aucun souci à se faire. Notre service à la clientèle… Vous connaissez la chanson…
Si vous n’êtes pas client chez Combell, vous pouvez très facilement savoir si votre site web utilise un certificat SHA-1 ou un certificat SHA-256. Avec le navigateur Firefox, il suffit de se rendre sur la partie sécurisée de votre site, qui est reconnaissable grâce au préfixe 'https'. Là, cliquez sur le symbole du petit cadenas, et cliquez ensuite sur 'Plus d’informations'.
Vous obtiendrez ainsi une boîte de dialogue avec une première indication du niveau de sécurité. Dans 'connexion chiffrée', vous deviez voir quelque part le code 256. Si vous cliquez ensuite sur 'afficher le certificat’ dans la même boîte de dialogue, vous remarquerez dans la fenêtre suivante ('affichage du certificat'), dans 'Nom général’ la confirmation qu’il s’agit d’un certificat SHA-256 ou non.
Si malheureusement vous ne disposez pas d’un certificat SHA-256, qui est plus sûr, gardez absolument un œil sur cette évolution et essayez d’agir le plus vite possible. Peut-être que votre hébergeur ne propose pas le même service que Combell et qu’il ne vous a donc pas fait part de ce risque. Dans ce cas, vous pouvez probablement aussi oublier qu’il vous offre une mise à jour gratuite vers un certificat SHA-256. Vous devrez probablement vous débrouiller seul, et dans le pire des cas payer pour une mise à jour du certificat.
Gardez cette expérience à l’esprit lorsque vous devrez prolonger votre contrat d’hébergement avec ce fournisseur. Et n’oubliez pas : le prix ne peut absolument pas être le seul facteur dont vous tiendrez compte lors de votre choix ! Il y a tellement d’autres aspects qui doivent être pris en considération. Il y a notamment la fiabilité, l’expertise, le suivi constant des dernières normes en matière de sécurité, une communication transparente vis-à-vis des clients… Et Combell est à même de vous fournir tous ces atouts, qui sont d’une valeur inestimable.