Statut de système | SwissSign
Une spécialiste de la Poste Suisse pour la sécurité des données

Section générale

06.03.2017

Les certificats SHA-1 ne sont pas sûrs

Depuis 2005, on sait que l'algorithme SHA-1 peut être compromis par des méthodes complexes et une puissance de calcul élevée. En conséquence, l'algorithme SHA-1 a été classé comme non sûr à l'avenir et nous avons rapidement mis en œuvre l'algorithme SHA-2 dans nos certificats.
En 2014, on connaît des méthodes qui permettent de compromettre encore plus rapidement l'algorithme SHA-1, ce qui augmente encore l'urgence de remplacement. Ainsi, tous les navigateurs et systèmes d'exploitation modernes ne prennent plus en charge les certificats SSL / TLS SHA-1 depuis le début de l'année.
Sur la base de ces nouvelles méthodes, il a été possible de produire deux documents différents avec le même hachage SHA-1 à la fin du mois de février. Il est maintenant également pratiquement démontré que l'utilisation de l'algorithme SHA-1 représente un risque concret et que l'utilisation doit être évitée. Par conséquent, nous recommandons d'échanger des certificats SHA-1 encore existants avec la nouvelle génération de certificats SHA-2.

Les clients de notre ICP gérée peuvent simplement révoquer ces certificats et obtenir de nouveaux certificats délivrés par l'ICP gérée. Les certificats SHA-1 peuvent également être reconnus par le fait que le « issuing CA » (CA émetteur) affiche l'abréviation "G2" au lieu de "G22". Pour les clients des certificats individuels dans la boutique en ligne, nous avons lancé un programme d'échange il y a 2 ans. Si vous ne l'avez pas encore fait, contactez notre service d'assistance.

Si les certificats d'accès à notre ICP gérée contiennent encore SHA-1, nous les échangerons de manière proactive et vous informerons à l'avance de l'échange.