Dernière mise à jour sur 28 sept. 2023 à 10:32:43.
Catégorie:
Tout sur les Certificats SSL
| SSL questions techniques
SHA est un algorithme mathématique employé en SSL pour vérifier la validité de la signature d'un certificat. Il existe plusieurs déclinaisons de SHA: SHA-0, qui est obsolète et ne s'emploie plus, SHA-1, la version encore utilisée pour la majorité des certificats SSL, SHA-2, une version améliorée de l'algorithme, et SHA-3, paru en 2012.
L'algorithme SHA-2 comporte quatre versions, SHA-224, SHA-256, SHA-384 et SHA-512. L'algorithme SHA-256 est celui que les émetteurs de certificats et les navigateurs favorisent, et les terment SHA-2 et SHA-256 se confondent dans l'usage courant.
La puissance computationnelle des ordinateurs augmente de façon exponentielle, et la possibilité que l'on puisse générer un fichier qui résulte un un même résultat de contrôle via SHA-1 qu'un autre fichier devient réelle. Ce phénomène, appelé collision, permettrait de contourner la sécurité des certificats SSL, étant donné que l'on pourrait émettre des faux certificats qui seraient reconnus comme émis par un émetteur fiable. Ce faisant, Microsoft et Google, suivi par les autres développeurs de navigateurs, ont décidé d'éteindre la validité des certificats signés via SHA-1 progressivement.
Les Certificate Authorities n'émettront plus de certificats SHA-1 après le 31 décembre 2014. Vos demandes de nouveaux certificats après cette date s'effectueront toujours avec une signature SHA-256.
En renouvelant votre certificat SSL actuel, il faut veiller à bien demander la signature via SHA-256. Pour garantir la compatibilité avec des navigateurs obsolètes, il est encore possible d'émettre des certificats existants en SHA-1. Vous trouverez plus d'informations sur la page « compatibilité avec SHA-256 ».
Si votre certificat a une longue durée de validité, jusqu'en 2016 ou 2017, il se pourrait que vos internautes soient confrontés à des avertissement en visitant votre site. Dans ce cas, envisagez de faire ré-émettre votre certificat actuel en SHA-256. Si vous avez commandé votre certificat chez Kinamo, nous nous chargeons entièrement gratuitement de la ré-émission et de l'installation.
Vous n'êtes pas client chez Kinamo? Aucun souci, la plupart des émetteurs de certificats ont des programmes alléchants en cas de migration d'un concurrent, et vous offrent d'ajouter la durée de validité d'un certificat existant à votre nouveau certificat, parfois même en y ajoutant 30 jours gratuitement.
Vous n'avez pas obtenu de réponse à toutes vos questions?
Ne vous inquiétez pas, faites une demande d'assistance!
