Êtes-vous prêt pour le passage à SHA-2 ?
Votre entreprise est-elle prête pour l'abandon de SHA-1 ? Les délais pour le passage à SHA-2 sont imminents, et la dépréciation approche à grands pas. Selon InfoWorld, le SHA-1 était autrefois considéré comme sûr, mais il s'est avéré qu'il contenait des failles cryptographiques. Les experts en sécurité et les cryptographes estiment que le hachage SHA-1 n'est plus sûr et quesa durée de vie diminue rapidement.
Récapitulons rapidement pour ceux qui ne connaissent pas les différences entre SHA-1 et SHA-2 :
- Les valeurs de hachage permettent de garantir l'intégrité d'un élément de données donné, car il est pratiquement garanti qu'elles sont uniques et imprévisibles. L'algorithme de hachage sécurisé (SHA) est un type de fonction de hachage cryptographique créé pour garantir que les données n'ont pas été modifiées.
- La National Security Agency (NSA) a conçu le SHA-1 en 1995. Il s'agit d'une fonction de hachage de 160 bits, ce qui signifie que chaque donnée possible sera hachée en un nombre de 160 bits.
- Jusqu'à récemment, SHA-1 était largement adopté et pris en charge par la plupart des appareils et systèmes qui utilisent des fonctions de hachage cryptographiques.
- En 2002, SHA-2 est devenu la nouvelle norme de hachage recommandée. SHA-2 est souvent appelé la famille de hachages SHA-2 parce qu'il contient des hachages de différentes tailles, y compris des condensés de 224, 256, 384 et 512 bits, et qu'il est considéré comme étant cryptographiquement fort. Le hachage de chiffrement utilisé dans SHA-2 est nettement plus puissant et n'est pas sujet aux mêmes vulnérabilités que SHA-1.
En substance, SHA-1 n'est plus solide, SHA-2 est l'alternative la plus sûre, et toutes les organisations devraient effectuer la transition. Le risque de continuer à utiliser des certificats SHA-1 est incontestable.
Mise à jour des délais de dépréciation
Le 31 décembre 2016 est la date officielle d'acceptation de SHA-1. Malheureusement, comme le rapporte InfoWorld, tous les fournisseurs n'ont pas les mêmes dates de dépréciation - etelles changent constamment, ce qui est une raison de plus pour achever votre migration SHA-2 dès que possible.
En l'état actuel des choses, Microsoft a reporté sa date limite au 14 février 2017. Google a annoncé que les sites HTTP dont les chaînes de certificats utilisent SHA-1 et sont valides après le 1/1/17 n'apparaîtront plus comme étant totalement dignes de confiance dans l'interface utilisateur de Chrome.
Interface. Le 20/10/15, Mozilla a annoncé une réévaluation de la date à laquelle il commencerait à rejeter tous les certificats SHA-1 SSL (quelle que soit leur date d'émission). Il était toujours prévu de procéder à ce changement le 1/1/17, mais à la lumière des récentes attaques contre SHA-1, Mozilla envisageait également la possibilité de fixer une date butoir dès le 7/1/16 (c'est-à-dire en juillet dernier).
Quelles que soient les dates de dépréciation prévues par les fournisseurs, le plus sûr est de considérer le 31 décembre 2016 comme la date limite officielle.
L'échec de la migration : les conséquences
Les organisations et les utilisateurs qui n'adoptent pas SHA-2 courent le risque de ne pas pouvoir se fier à l'authenticité des données. Dans le cas des navigateurs publics, les utilisateurs seront informés de l'existence de "connexions non fiables", voire d'une impossibilité d'accès, tout cela à cause d'un certificat SHA-1 vulnérable.
Compte tenu de la baisse des coûts et des progrès croissants de la puissance de calcul et de la cryptanalyse, la question n'est pas de savoir si une collision SHA-1 se produira, mais quand elle se produira.
Les organisations qui émettent ou utilisent des certificats ont besoin d'un plan de transition ; les autorités de certification et les navigateurs de premier plan prennent cette question au sérieux. Il en va de même pour les organisations qui gèrent leur propre infrastructure PKI , leur autorité de certification et leurs certificats numériques. Les entreprises, grandes ou petites, sont aujourd'hui vulnérables, et la réaction à une panne ou à une violation de la sécurité ne sera pas de tout repos et pourrait coûter des millions de dollars.
Exécution du déménagement
Si vous avez besoin des services professionnels d'un expert externe PKI , il était temps d'entrer dans leur radar hier, alors n'attendez plus. De nombreux organismes de conseil PKI ont déjà rempli leur emploi du temps avec des projets de transition SHA-2.
Les meilleures pratiques pour la migration SHA-2 dépendront de la manière dont votre organisation émet des certificats, mais voici quelques suggestions de haut niveau :
| Certificats délivrés par l'autorité de certification interne | Certificats émis par une autorité de certification tierce | Certificats émis par des sources multiples |
|
|
|
Ne pas faire cavalier seul en matière de migration SHA-2
Pour plus de détails sur les dates prévues d'obsolescence et les meilleures pratiques pour la migration vers SHA-2, téléchargez "SHA-1 Deprecation Challenges and Solutions", produit par CSS Research.
Si vous avez des questions sur la migration SHA-2 ou si vous recherchez l'expertise de PKI pour faciliter la transition, n'hésitez pas à contacter les professionnels de CSS PKI ou à nous appeler au 877.715.5448 pour une assistance immédiate. Les experts de CSS PKI travaillent activement avec les clients pour les aider à faire face à leur situation unique par le biais de PKI Health Checks et PKI Professional Service engagements.
