web-dev-qa-db-fra.com

SHA1 est-il faible pour SSL?

J'ai remarqué qu'aujourd'hui, après avoir scanné un site sur le site Qualys SSL Labs, les suites de chiffrement SSL qui utilisent SHA1 sont maintenant mises en évidence comme étant "faibles". Il semble que cela vient de se produire; J'analyse régulièrement des sites et je n'ai jamais vu cela auparavant.

Nous savons tous depuis un certain temps que SHA1 présente certaines faiblesses. Ce changement reflète-t-il de nouveaux problèmes avec SHA1? Quelque chose a-t-il officiellement changé dans l'industrie pour que les suites de chiffrement basées sur SHA1 soient considérées comme "faibles"? Ou est-ce juste quelque chose que le site Qualys choisit de faire maintenant?

25
user53029

Rien n'a changé dans l'industrie. Qualys ne fait que souligner ce que nous savons déjà.

C'est pour vous rappeler que vous devez vous éloigner de SHA-1. Ce n'est généralement pas encore considéré comme un problème critique, mais devrait être trié dans le cadre des cycles de rafraîchissement/mise à jour normaux.

23
Rory Alsop

C'est parce que google va commencer à marquer les certificats qui utilisent sha1 comme non sécurisés à partir de 2017.

Quelques informations supplémentaires Pourquoi Google presse-t-il le Web de tuer Sha1

17
HocusPocus

Les forums de Qualys ont votre réponse: https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know

Ils ont commencé à signaler SHA-1 il y a 7 jours.

16
schroeder