migrer vers sha-2 : enjeux et prochaines Étapesmigrer vers sha-2: enjeux & prochaines étapes...
TRANSCRIPT
MIGRER VERS SHA -2 :
ENJEUX ET PROCHA INES
ÉTAPES
Migrer vers SHA-2:
Enjeux & prochaines étapes
Votre intervenant
Hanine MhanndWe b S e c u r i t y C o n s u l t a n t
2
Qui sommes-nous?
SSL247®
Migrer vers SHA-2:
Enjeux & prochaines étapes
Part ie 1Q u ’ e s t - c e q u e S H A ?
Part ie 2Po u r q u o i l a d é p r é c i a t i o n d e S H A - 1 ?
Part ie 3M i g r e r v e r s S H A - 2
3
AGENDA
Migrer vers SHA-2:
Enjeux & prochaines étapes
PARTIE 1Qu’est -ce que SHA ?
4
Migrer vers SHA-2:
Enjeux & prochaines étapes
QU’EST-CE QUE SHA ?
• Algorithme de hachage
Une fonction de hachage cryptographique servant à transformer une entrée
(message) en empreinte (valeur de hachage) composée d’un nombre donné de
bits.
Secure Hash Algorithm
• L’algorithme de hachage est appliqué à un message et donne une chaîne
de données appelée empreinte (fingerprint, digest ou hash value).
L’intérêt
Intégrité et authenticité du message pour le destinataire
Validation d’identité pendant le processus SSL
• Différentes générations d’algorithmes de hachage…
Ex : MD4, MD5, SHA-0, SHA-1, SHA256,…
5
Migrer vers SHA-2:
Enjeux & prochaines étapes
• Peu importe le nombre de fois où l’algorithme de hachage sera appliqué au
message, l’empreinte sera toujours la même :
• Si un seul caractère est modifié, l’empreinte sera complètement différente :
"Website Security SpecialistE" 3a09 e8f8 fdf6
"Web Security Specialist" 8537 1ca6 ht5f3
"Website Security Specialists" Processus de hachage 5e83 1rt6 ed60
Il est impossible d’inverser un algorithme de hachage ! Il est impossible de
retrouver le message d’origine à partir d’une empreinte = ALGORITHME DE
HACHAGE À SENS UNIQUE
COMMENT CELA FONCTIONNE ?
6
QU’EST-CE QUE SHA ?
Processus de hachage
Processus de hachage
Migrer vers SHA-2:
Enjeux & prochaines étapes
SHA-1 = une version d’algorithme SHA générant des empreintes de 160 bits.
8537 1ca6 e550 143d ce28 0347 1bde 3a09 e8f8 770f
Exemple d’empreinte SHA-1
Aujourd’hui, la plupart des certificats SSL possèdent une signature
digitale utilisant l’algorithme de hachage SHA-1.
7
QU’EST-CE QUE SHA-1 ?
Migrer vers SHA-2:
Enjeux & prochaines étapes
SHA-2 = Une autre version d’algorithme SHA. Elle utilise 6 algorithmes de
hachage générant des empreintes de tailles différentes :
SHA-256 = SHA-2.Générant des empreintes de 256 bits.
SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256
E3b0 c442 98fc 1c14 9afb f4c8 996f b924 27ae 41e4 649b 934c a495 991b 7852 b855
Exemple d’empreinte SHA-256
8
QU’EST-CE QUE SHA-2 ?
Migrer vers SHA-2:
Enjeux & prochaines étapes
PARTIE 2Po u rq u o i l a dépréc i a t i o n de SHA -1 ?
9
Migrer vers SHA-2:
Enjeux & prochaines étapes
FAIBLESSES
RAPPEL
Risques de “collision“• Qu’est-ce que c’est ?
Essayer de trouver des blocs de données différentes (messages) générant la même
empreinte.
• Comment cela peut-il arriver ?
Les données entrantes (message) ne sont pas limitées en quantité contrairement
aux données sortantes (empreinte), ce qui peut créer des collisions.
• Quelles sont les conséquences ?
Augmenter les risques de « Man-In-the-Middle attacks »
Corrompre l’intégrité de vos certificats SSL : voir apparaître des
certificats numériques avec la même signature que l'original tout en
véhiculant un contenu différent
SHA est un algorithme à sens unique
10
Migrer vers SHA-2:
Enjeux & prochaines étapes
MD5 : Algorithme de hachage précédent. Prouvé non-résistant aux
attaques de collisions.
SHA-1 : Algorithme de hachage en cours. En théorie, résistant aux
attaques de collisions.
8537 1ca6 e550 143d ce28 0347 1bde 3a09 e8f8 770f
Longueur d’une empreinte SHA-1 (160 bits)
E3b0 c442 98fc 1c14 9afb f4c8 996f b924 27ae 41e4 649b 934c a495 991b 7852 b855
Longueur d’une empreinte SHA-256 (256 bits)
9e10 7d9d 372b b682 6bd8 1d35 42a4 19d6
Longueur d’une empreinte MD5 (128 bits)
Les algorithmes avant SHA-2
Solution ? SHA-2 empreinte plus longue
11
FAIBLESSES
Migrer vers SHA-2:
Enjeux & prochaines étapes
• 1er Janvier 2017
Microsoft Operating System arrêtera de faire confiance aux certificats
SSL en SHA-1
Les navigateurs Internet en feront de même
• Conséquences ?
N’importe quel utilisateur essayant de se connecter à un site utilisant un
certificat SSL en SHA-1 verra le message d’alerte suivant :
DEADLINES
12
Migrer vers SHA-2:
Enjeux & prochaines étapes
AUTORITÉS DE CERTIFICATION (CAs)
• 1er Janvier 2016
Suite à la décision de MICROSOFT, toutes les Autorités de Certification arrêteront
d’émettre des certificats SSL en SHA-1 après cette date.
DEADLINES
13
Migrer vers SHA-2:
Enjeux & prochaines étapes
SUR CHROME 40 & 41
Depuis février et mars 2015, tous les certificats SHA-1 expirant…
• … entre le 1er juin 2016 – 31 décembre 2016
• … après janvier 2017
DEADLINES
• En 2014 Google a annoncé que des messages d’alerte apparaîtront sur Chrome pour
les sites Internet utilisant des certificats SHA-1.
• Les icônes des messages d’alerte varieront selon….
La date d’expiration du certificat SHA-1
La version de Chrome
Sécurisé, mais avec des
erreurs mineures
Neutre, sécurité absente
14
Migrer vers SHA-2:
Enjeux & prochaines étapes
DEADLINES
SUR CHROME 42
Depuis avril 2015, pour un certificat SHA-1 expirant…
• … entre le 1er juin 2016 et le 31 décembre 2016
• … après le 1er janvier 2017
Sécurisé, mais avec
des erreurs mineures
Non sécurisé
15
Migrer vers SHA-2:
Enjeux & prochaines étapes
DEADLINES
Sécurisé, mais avec erreurs mineures
Neutre, sécurité absente
Non sécurisé
Si un certificat SSL utilisant SHA-1 expire après le 1er juin 2016, les utilisateurs verront :
16
Migrer vers SHA-2:
Enjeux & prochaines étapes
DEADLINES
Exemples de messages que verront les utilisateurs…
Au lieu de…
17
Migrer vers SHA-2:
Enjeux & prochaines étapes
MIGRER VERS SHA-2 EST ESSENTIEL
Si vous ne le faîtes pas…
• Alertes visuelles
Sont impactés…
• Toutes les entreprises
• Tous les types de certificats
(DV, OV, EV, Wildcard, Multi-
Domaines, pour les applications
internes et externes)
C’est le nouveau standard de sécurité:
• Standard NIST (US)
• Conformité PCI DSS
• Réactions négatives des
utilisateurs
18
Migrer vers SHA-2:
Enjeux & prochaines étapes
PARTIE 3Migrer vers SHA-2
19
Migrer vers SHA-2:
Enjeux & prochaines étapes
PLANIFIER VOTRE MIGRATION
1. Identifier vos certificats SSL en SHA-1
2. Vérifier la compatibilité de votre serveur/navigateur
3. Prioriser les certificats SHA-1
4. Migrer vers SHA-2 avec SSL247®
5. Installer vos certificats SHA-2
6. Tester l’installation de vos certificats en SHA-2
20
Migrer vers SHA-2:
Enjeux & prochaines étapes
IDENTIFIER VOS CERTIFICATS EN SHA-1
3 manières de le faire…
1
• Utilisez notre décodeur SHA-1
2121
https://www.ssl247.fr/ssl-tools/sha1-checker
Migrer vers SHA-2:
Enjeux & prochaines étapes
• Si vous êtes déjà client, utilisez votre platforme MySSL®
1
22
IDENTIFIER VOS CERTIFICATS EN SHA-1
Migrer vers SHA-2:
Enjeux & prochaines étapes23
1 IDENTIFIER VOS CERTIFICATS EN SHA-1
Migrer vers SHA-2:
Enjeux & prochaines étapes
• Ou vérifiez tout simplement sur votre navigateur
1
24
IDENTIFIER VOS CERTIFICATS EN SHA-1
Migrer vers SHA-2:
Enjeux & prochaines étapes
VÉRIFIER LA COMPATIBILITÉ DE VOTRE SERVEUR/NAVIGATEUR
• En règle générale, SHA-256 est supporté par Windows XP SP3+ et OS X 10.5
https://www.ssl247.fr/kb/ssl-certificates/generalinformation/sha2-
compatibility-browsers-os
• Utilisez notre livre blanc en ligne pour verifier la compatibilité de votre serveur !
Remarque : Si votre serveur n’est pas compatible, pensez à le mettre à jour.
2
25
Migrer vers SHA-2:
Enjeux & prochaines étapes
PRIORISER LES CERTIFICATS SHA-1
Si vous avez un grand nombre de certificats SSL, essayez de les prioriser selon :
La date d’expiration…
Concentrez-vous sur les certificats ayant la date d’expiration la plus
lointaine
Le degré d’urgence…
Concentrez-vous sur les sites web destinés au public
Le temps de transition…
Vérifiez combien de temps il vous faut pour préparer cette transition (ex :
les problèmes de compatibilité de vos serveurs)
3
26
Migrer vers SHA-2:
Enjeux & prochaines étapes
4 MIGRER VERS SHA-2 AVEC SSL247®
3 façons de migrer vers SHA-2 :
Renouveler
Remplacement compétitif
RéémettreRéémettre avec SSL247® est gratuit, rapide, facile et ne demande de
suivre que quelques étapes !
27
Migrer vers SHA-2:
Enjeux & prochaines étapes
MIGRER VERS SHA-2 AVEC SSL247®
RÉÉMETTRE SUR MySSL®
28
Migrer vers SHA-2:
Enjeux & prochaines étapes
Réémettez rapidement votre certificats SSL en 2 étapes avec SSL247®
Comment ?
Pour accéder à vos certificats SSL, utilisez le menu de gauche
de la plateforme.
Sur MySSL® platform
RÉÉMETTRE SUR MySSL®
https://www.ssl247.fr/myssl/login
29
Migrer vers SHA-2:
Enjeux & prochaines étapes
Étape 1: Générez un nouveau CSR (Certificate Signing Request)Remarque: Utilisez les mêmes informations CSR que vous aviez entrées à l’origine
pour le certificat.
Cliquez sur télécharger le CSR
existant
Si vous ne vous souvenez pas des informations de votre CSR,
retrouvez-les sur la platforme MySSL®
30
RÉÉMETTRE SUR MySSL®
Migrer vers SHA-2:
Enjeux & prochaines étapes
Copiez-collez le CSR existant
préalablement téléchargé
dans le Décodeur CSR
https://www.ssl247.fr/support/tools/csr-decoder
Pour accéder à tous nos outils supports
31
RÉÉMETTRE SUR MySSL®
Migrer vers SHA-2:
Enjeux & prochaines étapes
Utilisez l’information du décodeur CSR
pour générer un nouveau CSR
https://www.ssl247.fr/kb/ssl-certificates/generate-csr
Pour accéder à nos tutoriels de création de CSR
32
RÉÉMETTRE SUR MySSL®
Migrer vers SHA-2:
Enjeux & prochaines étapes
Étape 2: Réémettre le certificatUne fois le bon CSR obtenu, retournez sur la page de votre certificat sur la plateforme MySSL®
33
Au bas de la page, Copiez-collez le
nouveau CSR et validez.
RÉÉMETTRE SUR MySSL®
Migrer vers SHA-2:
Enjeux & prochaines étapes
https://www.ssl247.fr/kb/myssl-guide/SHA-2-reissue
Retrouvez ce processus en 2 étapes sur notre tutoriel dédié (en anglais) !
34
RÉÉMETTRE SUR MySSL®
Migrer vers SHA-2:
Enjeux & prochaines étapes
INSTALLER VOS CERTIFICATS SHA-2
• Pensez à installer vos certificats intermédiaires en SHA-2
https://www.ssl247.fr/support/installer
Une fois le certificat SHA-2 reçu par e-mail :
5
Remarque: il n’y a rien à changer pour les
certificats racines.
https://www.ssl247.fr/support/racines-intermediaires
• Utilisez nos tutoriels pour vous guider
35
Migrer vers SHA-2:
Enjeux & prochaines étapes
TESTER L’INSTALLATION DE VOS CERTIFICATS EN SHA-2
• Vérifiez l’installation avec…
6
Notre Décodeur de certificat
https://www.ssl247.fr/ssl-tools/certificate-decoder
https://www.ssl247.fr/support/tools/health-checkers
Nos health checkers
36
Pour accéder à tous nos outils supports
LIENS UTILES
37
• Identifier vos certificats SHA-1
Décodeur SHA-1 : https://www.ssl247.fr/ssl-tools/sha1-checker
• Vérifier la compatibilité d’un navigateur/serveur
Livre blanc : https://www.ssl247.fr/kb/ssl-certificates/generalinformation/sha2-compatibility-browsers-os
• Migrer vers SHA-2 avec SSL247®
MySSL® : https://www.ssl247.fr/myssl/login
Décodeur CSR : https://www.ssl247.fr/support/tools/csr-decoder
Tutoriel CSR : https://www.ssl247.fr/kb/ssl-certificates/generate-csr
Tutoriel “Réémettre en SHA-2” : https://www.ssl247.fr/kb/myssl-guide/SHA-2-reissue
• Installer vos certificats en SHA-2
Tutoriels d’installation de certificats : https://www.ssl247.fr/support/installer
Télécharger les certificats racines et intermédiaires : https://www.ssl247.fr/support/download-roots-
intermediates
• Tester l’installation de vos certificats en SHA-2
Health checkers : https://www.ssl247.fr/support/tools/health-checkers
Décodeur de certificats : https://www.ssl247.fr/ssl-tools/certificate-decoder
• Plus d’informations : https://www.ssl247.fr/migrer-vers-SHA2
Ces liens sont aussi disponibles sur nos autres sites web (www.SSL247.co.uk,
www.SSL247.es, www.SSL247.se, etc.)
Migrer vers SHA-2:
Enjeux & prochaines étapes
Questions & Réponses
38
Migrer vers SHA-2:
Enjeux & prochaines étapes39
Est-ce que le fait de faire une demande de réémission en SHA-2 entraîne une révocation
du certificat en SHA1 ?
La version actuelle de Mozilla Firefox déclenche-t-elle également des messages d’erreur
pour les certificats en SHA-1?
Non, la réémission de votre certificat avec le nouvel algorithme SHA-2 n’entraîne pas la révocation de
votre certificat actuel en SHA-1.
Les deux certificats peuvent cohabiter, le temps de planifier l’intervention technique visant à installer le
nouveau certificat sur votre serveur. La révocation de l’ancien certificat ne se fait que sur demande
expresse de votre part.
Non. A l’heure actuelle, seul le navigateur Google Chrome déclenche des messages d’erreur relatifs aux
certificats SSL en SHA-1. Les messages d’erreur rencontrés sur le navigateur Firefox désignent d’autres
causes : ressources non sécurisées présentes sur la page, erreur dans l’installation du certificat, chaîne
intermédiaire pas à jour,…
Migrer vers SHA-2:
Enjeux & prochaines étapes
Merci de votre attention !
Avec SSL247®, n’attendez plus pour protéger votre Online Business Continuity
[email protected] - +33 (0)3 66 72 95 95 - www.SSL247.fr
40