Google abandonne l’encryption SHA-1 bientôt !
Google a un plan de sécurité sur le web et il semble s’y tenir. Il ne se passe guère une semaine entre chaque annonce d’une nouvelle mesure pour élever la sécurité ou modifier un aspect. Quand ce n’est pas sur son moteur de recherche, c’est sur Chrome, son navigateur phare.
Les sites internet et les navigateurs encryptent les données échangées entre eux. Une signature numérique est donc crée pour chaque paquet de données afin de s’assurer que ces données ne sont pas altérées lorsqu’ils transitent de serveurs en serveurs.
L’encryption de type SHA-1 pour les certificats de sécurité présente quelques faiblesses et la recommandation faites par les autorités de sécurité en la matière en 2011 était de l’abandonner dès le 1er janvier 2016.
Google va donc dans ce sens et dans le courant de janvier 2016, la version 48 de Chrome présentera une erreur si vous naviguez sur un site internet présentant uniquement l’encryption de type SHA-1.
L’erreur devrait ressembler à ceci :
De plus, au 1er janvier 2017 ce ne sera plus une alerte qui s’affichera mais bien une erreur qui bloquera complétement la possibilité de visiter le site.
Assurez-vous que votre hébergeur vous propose un environnement prêt pour 2016 en SHA-2, comme Internet Cloud Canada qui est à ce standard déjà depuis plusieurs mois! Sinon, vos sites internet afficheront des erreurs et naturellement vous perdrez la confiance de vos clients qui ne s’aventureront pas et qui n’achèteront pas sur un site insécure!