C’est officiel, même Microsoft va abandonner le support de la fonction de hachage SHA1 dépréciée depuis maintenant 10 ans. Tous comme les autres navigateurs Web du marché, Edge et Internet Explorer ne supporteront plus ces certificats à compter du début d’année 2017.
L’algorithme de hachage cryptographique SHA-1 utilisé pour signer des certificats a déjà été banni par les principaux navigateurs. Seul Microsoft avait décidé de poursuivre son support, mais ce dernier a récemment décidé de revenir sur sa décision et déclare que la dépréciation de SHA-1 sera effective d’ici le 14 février 2017. Le compte à rebours est donc lancé.
À compter de cette date butoir, les navigateurs Edge et Internet Explorer bloqueront partiellement l’accès aux sites utilisant un certificat TLS signés par la fonction SHA-1. La firme de Redmond explique que ses navigateurs afficheront un avertissement à l’intention des utilisateurs qui tentent de se connecter à un site protégé par ce type de certificat. Il sera néanmoins possible de l’ignorer pour conserver un accès au site, mais Microsoft déconseille cette solution.
Mozilla Firefox a prévu de son côté que son navigateur bloquerait l’affichage des sites utilisant ces certificats à compter du 1er janvier 2017, tandis que Google Chrome prévoit cette évolution pour la fin du mois de janvier 2017.
En 2015, Netcraft faisait état d’un million de sites Internet utilisant des certificats signés en SHA-1. L’abandon de la fonction cryptographique a commencé après que des experts ont prouvé qu’il ne fallait que 75 000 dollars d’équipement aux cybercriminels pour casser les certificats SHA-1 (fonction apparue en 1995). Les webmasters ont donc un dernier délai pour agir et mettre à jour les certificats avant la fin du support.