Chrome se prépare à rejeter des certificats vulnérables
Si vous utilisez Chrome comme navigateur web, sachez que des avertissements pourront apparaître à partir du 1er janvier 2016 si vous tentez de vous connecter à un site au moyen d'une connexion sécurisée.
Les certificats dont il est question sont basés sur l'algorithme SHA-1, qui est une fonction de hachage cryptographique très courante sur Internet. Or, des travaux de recherche récents ont montré que la puissance de calcul actuellement disponible est suffisante pour casser SHA-1 dans un temps et à un prix relativement limités. Et cela ne va évidemment pas aller en s'arrangeant avec les progrès en informatique.
En conséquence, Google prévoit d'écarter les certificats basés sur SHA-1 à partir du Nouvel An, en suivant plusieurs étapes. Il est d'abord prévu d'afficher un message de mise en garde dans Chrome 48 (et dans les versions ultérieures) pour tous les nouveaux certificats signés avec SHA-1, si ceux-ci ont été émis à partir du 1er janvier 2016. Google estime que les usagers confrontés à ces avertissements seront peu nombreux.
Ensuite, ce sont tous les certificats SHA-1 qui seront bloqués dans Chrome. Cette mesure prendra effet le 1er juillet 2016. Il était d'abord prévu de garder la date du 1er janvier 2017, mais les observations sur la fragilité de SHA-1 ont convaincu Google de presser le pas et de se débarrasser plus rapidement de cet algorithme. Google se laisse toutefois une marge de manœuvre s'il faut éventuellement revenir à l'ancienne date.
Google rappelle que Microsoft et Mozilla prévoient aussi d'éjecter les certificats SHA-1. Les trois sociétés s'étaient d'ailleurs déjà organisées pour annoncer l’abandon de l’algorithme de chiffrement RC4, au motif que celui-ci peut maintenant être cassé en quelques heures ou jours grâce à la sophistication de certaines attaques informatiques.