Au nom de la sécurité
Les 3 principaux navigateurs Internet (Microsoft Edge, Google Chrome, Mozilla Firefox) ont entamé une mise en retrait de l’algorithme de hachage SHA-1 qui est utilisé pour signer des certificats SSL (et ainsi établir des connexions sécurisées) pour laisser place au SHA-2. La fin du support total est fixé à compter du 1er janvier 2017. Google est en pleine restructuration et sa date limite pourrait être avancée au 1er juillet 2016. Bien que certaines autorités de certifications continueront d’émettre de nouveaux certificats avant cette échéance (Symantec). Chrome affichera une erreur de certification pour les sites enregistrés avec une signature sous SHA-1 et utilisant un certificat délivré au 1er janvier 2016 ou après, (de même pour les sites ayant une certification publique).
SHA-2, le bouclier du https
On peut souligner l’une des premières résolutions de Google pour l’année 2016 « À la sécurité, je veillerai! ». La firme de Mountain View déclarait que: « Naviguer sur internet devrait être une expérience privée entre l’utilisateur et le site internet et ne devrait pas faire l’objet d’écoute électronique, d’attaque par interception ou de modifications de données. C’est la raison pour laquelle nous faisons la promotion du HTTPS partout ». Pour résumer l’indexation des pages HTTPS ne sera donc plus automatique et répondra à des conditions strictes par exemple: disposer d’un certificat TSL valide, veiller que le fichier robots.txt ne bloque pas l’exploration de la page ou qu’elle ne renvoie pas à une page non sécurisée…)
Les différents cas de figures pour les sites HTTPS utilisant le certificat
- Expiration du certificat SSL avant le 1er Janvier 2016: vous pouvez encore obtenir un certificat SSL SHA-1, mais sa validité ne devra pas dépasser le 1er Janvier 2017.
- Expiration du certificat SSL entre le 1er Janvier 2016 et le 1er Janvier 2017: vous n’aurez plus d’autre choix que d’obtenir un certificat SSL en SHA-2, mais votre certificat SSL en SHA-1 restera valide jusqu’au 31 Décembre 2016.
- Expiration du certificat après le 1er Janvier 2017: après cette date, Microsoft considérera votre certificat comme « non reconnu », et les navigateurs web feront très certainement de même. Tout utilisateur tentant de se connecter sur votre site recevra un message d’avertissement.