Re: Faille de sécurité Freak

[Vincent Lefevre <vincent@vinc17.net>]

On 2015-03-09 11:32:58 +0100, Vincent Lefevre wrote:
> On 2015-03-06 19:37:02 +0100, andre_debian@numericable.fr wrote:
> > Y a t-il une action à faire sur le serveur pour passer de SHA-1 vers
> > SHA-2 ?
> 
> Je ne pense pas. L'action à faire, c'est juste la mise à jour du
> certificat. Mais que la fonction de hachage utilisée pour le nouveau
> certificat soit SHA-1 ou SHA-2, c'est la même manipulation.

J'ai oublié de dire... Le passage de SHA-1 à SHA-2, cela concerne
en fait toute la chaîne de certification. (Il est peut-être possible
de mixer, mais ce serait un problème de sécurité à cause d'une
vulnérabilité potentielle au point le plus faible, SHA-1.)

Donc ne pas oublier de mettre aussi à jour le certificat
intermédiaire! Cela fait deux fois que je vois cet oubli
(Nerim sur un de ses serveurs IMAP il y a quelques mois,
et Inria pour sa forge avec la mise à jour d'hier).

Les certificats root aussi, mais il sont fournis automatiquement
par le système ou le navigateur. Apparemment, c'est surtout ça
qui pose problème: certains vieux navigateurs n'ont pas tous les
certificats root SHA-2 nécessaires en pratique.

Pour être sûr que tout est OK, tester avec l'outil SSL Labs ou
des clients locaux (OpenSSL...), mais pas des navigateurs web
comme Firefox: apparemment le certificat intermédiaire peut
être en cache car un autre site l'utilise, et on ne se rend
alors pas compte de la mauvaise config du serveur.

-- 
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)