Conseils de sécurité Microsoft 4010323

Dépréciation de SHA-1 pour les certificats SSL/TLS dans Microsoft Edge et Internet Explorer 11

Publication : 9 mai 2017

Version : 1.0

Résumé

À compter du 9 mai 2017, Microsoft a publié des mises à jour vers Microsoft Edge et Internet Explorer 11 pour empêcher les sites protégés par un certificat SHA-1 de charger et d’afficher un avertissement de certificat non valide. Cette modification affecte uniquement les certificats SHA-1 qui se chaînent à une racine dans le Programme racine approuvé Microsoft où le certificat d’entité finale ou l’intermédiaire émettrice utilise SHA-1. Les certificats SHA-1 auto-signés ou d’entreprise ne seront pas affectés, bien que nous vous recommandons de migrer rapidement tous les clients vers des certificats SHA-2. Pour plus d’informations, consultez l’application Windows des certificats SHA1.

Pour plus d’informations, consultez l’article 4010323 de la Base de connaissances Microsoft.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Informations de référence Informations de référence
Informations générales Application Windows des certificats SHA1
\ Compte à rebours SHA-1
Exigences techniques Protection contre les algorithmes de chiffrement faibles

Logiciel affecté

Cet avis s’applique aux systèmes d’exploitation suivants :

Windows 7
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1
Windows 8.1
Windows 8.1 pour les systèmes 32 bits
Windows 8.1 pour les systèmes x64
Windows Server 2012 R2
Windows Server 2012 R2
Windows 10
Windows 10 pour les systèmes 32 bits
Windows 10 pour systèmes x64
Windows 10 version 1511 pour les systèmes 32 bits
Windows 10 version 1511 pour les systèmes x64
Windows 10 version 1607 pour les systèmes 32 bits
Windows 10 version 1607 pour les systèmes x64
Windows Server 2016
Windows Server 2016 pour les systèmes x64
Option d’installation server Core
Windows Server 2008 R2 pour systèmes x64 (installation Server Core)
Windows Server 2012 R2 (installation minimale)
Windows Server 2016 pour les systèmes x64 (installation server Core)

Faq sur les conseils

Quelle est la portée de l’avis ? 
Cet avis vise à aider les clients à évaluer le risque de certaines applications qui utilisent des certificats numériques X.509 signés à l’aide de l’algorithme de hachage SHA-1 et à recommander que les administrateurs et les autorités de certification utilisent SHA-2 à la place de SHA-1 comme algorithme pour signer des certificats numériques.

S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ? 
Non. Microsoft recommande à tous les clients de migrer vers SHA-2 et l’utilisation de SHA-1 comme algorithme de hachage à des fins de signature est déconseillée et n’est plus une bonne pratique. Bien qu’il ne s’agit pas d’une vulnérabilité dans un produit Microsoft, Microsoft émet cet avis pour aider à clarifier le risque réel impliqué pour les clients.

Quelles sont les causes de cette menace ?  
La cause racine du problème est une faiblesse connue de l’algorithme de hachage SHA-1 qui l’expose à des attaques de collision. Ces attaques peuvent permettre à un attaquant de générer des certificats supplémentaires qui ont la même signature numérique qu’une signature d’origine. L’utilisation de certificats SHA-1 à des fins spécifiques qui nécessitent une résistance contre ces attaques est déconseillée. Sur Microsoft, le cycle de vie du développement de la sécurité exige que Microsoft n’utilise plus l’algorithme de hachage SHA-1 comme valeur par défaut dans les logiciels Microsoft. Pour plus d’informations sur la faiblesse de collision SHA-1, consultez SHAttered : La première collision pour le sha-1 complet.

Qu’est-ce qu’un certificat numérique ? 
Dans le chiffrement à clé publique, l’une des clés, appelée clé privée, doit être conservée secrète. L’autre clé, connue sous le nom de clé publique, est destinée à être partagée avec le monde. Toutefois, il doit y avoir un moyen pour le propriétaire de la clé de dire au monde à qui appartient la clé. Les certificats numériques fournissent un moyen de le faire. Un certificat numérique est un justificatif électronique utilisé pour certifier les identités en ligne des individus, des organisations et des ordinateurs. Les certificats numériques contiennent une clé publique empaquetée avec des informations sur celle-ci : qui le possède, ce qu’il peut être utilisé, quand il expire, et ainsi de suite. Pour plus d’informations, consultez Présentation des certificats numériques.

Quel est l’objectif d’un certificat numérique ?  
Les certificats numériques sont utilisés principalement pour vérifier l’identité d’une personne ou d’un appareil, authentifier un service ou chiffrer des fichiers. Normalement, il n’est pas nécessaire de réfléchir aux certificats du tout, en dehors du message occasionnel indiquant qu’un certificat a expiré ou n’est pas valide. Dans ce cas, il convient de suivre les instructions fournies dans le message.

Qu’est-ce qu’une autorité de certification (CA) ?  
Les autorités de certification sont les organisations qui émettent des certificats. Ils établissent et vérifient l’authenticité des clés publiques qui appartiennent à des personnes ou à d’autres autorités de certification, et vérifient l’identité d’une personne ou d’une organisation qui demande un certificat.

Actions suggérées

  • Passer en revue les modifications apportées à la stratégie du programme racine approuvé Microsoft
    Les clients qui s’intéressent à en savoir plus sur la rubrique abordée dans cet avis doivent passer en revue l’application windows des certificats SHA1.

  • Mise à jour de SHA-1 vers SHA-2
    Les autorités de certification ont été interdites d’émettre de nouveaux certificats SHA-1 depuis janvier 2016. Les clients doivent s’assurer que leurs autorités de certification utilisent l’algorithme de hachage SHA-2 pour obtenir des certificats SHA-2 auprès de leurs autorités de certification. Pour signer du code avec des certificats SHA-2, consultez les instructions de cette rubrique sur l’application windows des certificats SHA1.

    Impact de l’action : des solutions matérielles plus anciennes peuvent nécessiter une mise à niveau pour prendre en charge ces technologies plus récentes.

  • Conserver Windows mis à jour
    Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez.

Autres informations

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (9 mai 2017) : avis publié.

Page générée 2017-05-08 17 :41-07 :00.