Après vingt ans d’utilisation, l’algorithme Secure Hash Algorithm touche à sa fin d’exploitation. Microsoft souhaite en supprimer le support au sein de ses navigateurs Web dès cette été selon un planning très précis.
Le Secure Hash Algorithm a été développé en 1995 par la NSA dans le but de hacher des données sur 160 bits. Adopté comme un standard fédéral aux États-Unis, cet algorithme est supporté par la plupart des navigateurs et se retrouve sur environ 28% des sites Internet (principalement des certificats SSL ou des hashs de mots de passe).
Sauf que depuis 2005, SHA-1 n’est plus considéré comme fiable et peut être cracké, fait souligné et validé par de nombreux chercheurs en sécurité. Les organismes de certification cesseront donc de délivrer ce type de certificats à partir du 31 décembre, et certains navigateurs ne souhaitent plus supporter la technologie.
C’est le cas de Microsoft qui a indiqué sur son blog les modalités et le calendrier de la fin du support de SHA-1 :
« A partir de la mise à jour de Windows 10 Anniversary, Microsoft Edge et Internet Explorer ne considèreront plus comme sécurisés les sites Web protégés par un certificat SHA-1 et supprimeront l’icône de verrouillage de la barre d’adresse pour ces sites ». Edge et Internet Explorer bloqueront les certificats signés TLS sous SHA-1 dès février 2017.
Mozilla a pour sa part totalement supprimé le support de SHA-1 de Firefox, avant de revenir sur sa décision afin de garantir l’accès aux sites l’exploitant encore… Malgré que la fin du support soit toujours d’actualité. Du côté de Google, on avance la date du 1er janvier 2017 pour la mise à mort du SHA-1. Pourtant, d’importants acteurs du Web souhaitent encore que le support global du SHA-1 soit maintenu.
Les commentaires sont fermés.