Basculer vers les certificats signés SHA-256 pour éviter les échecs de connexion
Les développeurs, opérateurs de sites Web et administrateurs de serveurs qui utilisent les certificats signés SHA-1 pour garantir la sécurité via le protocole TLS doivent basculer dès que possible vers les certificats signés SHA-256.
La prise en charge des certificats signés SHA-1, utilisés pour le protocole Transport Layer Security (TLS) dans Safari et WebKit, s’est terminée avec la sortie de macOS Sierra 10.12.4, d’iOS 10.3, de tvOS 10.2 et de watchOS 3.2. Ces mises à jour mettent fin à la prise en charge de tous les certificats émis depuis une autorité de certification (CA) racine incluse dans le magasin de certificats par défaut du système d’exploitation.
macOS High Sierra 10.13, iOS 11, tvOS 11 et watchOS 4 disponibles à partir de cet automne ne prendront pas en charge les certificats signés SHA-1 pour les connexions TLS.
Les certificats CA racine signés SHA-1, les certificats SHA-1 distribués par des entreprises et les certificats SHA-1 installés par les utilisateurs ne sont pas concernés par cette modification.
Qu’est-ce qui a changé ?
Dans macOS Sierra 10.12.4, iOS 10.3 et leurs versions ultérieures respectives, Safari affiche une notification lorsqu’un utilisateur accède à une page Web qui tente d’établir une connexion TLS à l’aide d’un certificat signé SHA-1. L’utilisateur doit alors cliquer sur la notification pour charger le site. Après le chargement, le site s’affiche en tant que connexion non sécurisée dans Safari.
Les apps qui utilisent WebKit pour se connecter à un site à l’aide de TLS reçoivent un message d’erreur si le certificat du site est un certificat signé SHA-1. Les développeurs doivent s’assurer que leurs apps peuvent gérer ces erreurs.
Dans macOS High Sierra 10.13, iOS 11, tvOS 11 et watchOS 4, les apps qui essaient de créer une connexion TLS à l’aide d’un certificat signé SHA-1 voient leur connexion échouer. Les serveurs utilisés pour les e-mails, les calendriers, les VPN et d’autres services sont également concernés.
Que dois-je faire ?
Les développeurs, opérateurs de sites Web et administrateurs de serveurs doivent basculer dès que possible vers les certificats signés SHA-256 pour éviter l’affichage de messages d’avertissement et les échecs de connexion. De nombreux opérateurs CA proposent les certificats signés SHA-256.
Pour obtenir la liste des certificats CA racine figurant dans le magasin de certificats par défaut sur nos plates-formes, reportez-vous aux articles suivants :
