La fin de l’année approche à grande vitesse et il est plus que temps pour les administrateurs de préparer une liste de tâches à accomplir avant le début de la nouvelle année.
Si vous êtes administrateur ou webmaster en charge de sites publics, voici un conseil important : si l'un de vos sites Web utilise des certificats SHA-1 (Secure Hash Algorithm 1), vous devez immédiatement migrer en SHA-2. Sinon, vos précieux clients vont finir par voir apparaitre sur leur navigateur des erreurs de sécurité en rouge vif ainsi que des avertissements sur votre site web à partir du 1 janvier 2017 !
Maintenant, avant d'esquisser le plan de migration en SHA-2, nous allons passer quelques instants à nous (re)familiariser avec le protocole Secure Socket Layer (SSL) et les technologies SHA afin de comprendre l’utilité d’une telle migration.
Chiffrement SSL : le standard pour la communication sécurisée
SSL est un protocole utilisé pour transférer des informations en toute sécurité sur Internet. Les sites utilisent des certificats SSL signés par un tiers de confiance qui vérifie la propriété et chiffre les données transmises, garantissant ainsi l'intégrité des données et la vie privée des clients. Récemment, suite à des incidents comme Heartbleed dans OpenSSL, les gens ont commencé à se poser des questions sur l’efficacité de la technologie SSL. Mais le vrai problème ne réside pas dans la technologie SSL elle-même, mais dans la façon d’utiliser le chiffrement.
Le SHA-1 est vulnérable aux attaques
Le SHA, une famille de fonctions de hachage cryptographique publiées par le National Institute of Standards and Technology (NIST), est largement utilisée dans les certificats SSL pour chiffrer la transmission de données. Le NIST étant très influant dans le monde de la sécurité, son framework de cybersécurité a été adopté par la plupart des organisations du secteur privé pour éviter les cyberattaques. Le SHA-1 est une version 160 bits de la fonction SHA publiée par le NIST, et est également l'algorithme de signature le plus largement utilisé pour les certificats SSL.
Mais malheureusement, une expérience menée par un groupe de chercheurs en 2015 a révélé que le SHA-1 n’est plus sécurisé et qu’il peut désormais facilement être brisé par des cyberpirates. Bien que le SHA-1 permette toujours de sécuriser les données, les chercheurs prédisent que ce ne sera plus le cas dans un avenir proche.
En conséquence, le NIST a imposé une interdiction d’utiliser le SHA-1 à partir du 1er Janvier 2017. Il est grand temps pour les utilisateurs de SHA-1 de se mettre à niveau et de passer au SHA-2, une variante 256-bit de SHA, plus sûre, afin de protéger les organisations de fuites de données et d’une mauvaise réputation.
Mise à niveau vers SHA-2
Si votre organisation utilise un grand nombre de certificats SSL pour ses différents domaines, la tâche qui vous attend ne va pas être aisée.
Voici ce que vous avez à faire :
- Découvrir tous les certificats SSL déployés dans votre organisation.
- Isoler les certificats SHA-1.
- Demander de nouveaux certificats SHA-2 aux autorités de signature de certificat.
- Déployer les nouveaux certificats SHA-2.
- Surveiller l’expiration des certificats nouvellement déployés afin de rester à jour de leurs renouvellements.
Malheureusement, pour venir à bout de toutes ces étapes manuellement et sans problèmes, il vous faudra beaucoup de temps et d’efforts.
Y a-t-il un moyen facile ?
Avec une automatisation efficace, la migration peut être simplifiée. L'ensemble du processus devient beaucoup moins compliqué si vous surveillez tous les certificats SHA-1 de votre réseau de façon automatique et demandez immédiatement les nouveaux certificats SHA-2.
Si vous êtes à la recherche d'aide, essayez ManageEngine Key Manager Plus, une solution de gestion des certificats SSL et de clés SSH. Key Manager Plus permet d’organiser l'ensemble du processus de migration en un ensemble de tâches simples et vous aide à accomplir tout en seulement quelques clics.