Notre projet de dépréciation de l’algorithme SHA-1 dans le Web public, annoncé pour la première fois en 2015, touche à sa fin. Aujourd’hui, une équipe de chercheurs de CWI Amsterdam et de Google a révélé la première collision concrète pour SHA-1, confirmant l’insécurité de l’algorithme et renforçant notre conviction qu’il doit être retiré de la circulation pour un usage sécuritaire sur le Web.
Comme annoncé à l’automne dernier, nous avons désactivé SHA-1 pour un nombre de plus en plus grand d’utilisateurs de Firefox depuis la sortie de Firefox 51 avec une technique de retrait progressive. Demain, cette politique de dépréciation touchera tous les utilisateurs de Firefox. Elle est activée par défaut dans Firefox 52.
La sortie progressive de SHA-1 dans Firefox affectera ceux qui accèdent aux sites web qui n’ont pas encore migré vers des certificats SHA-2, bien en dessous de 0,1 % du trafic web. En parallèle de la suppression progressive de la cryptographie peu sûre de Firefox, nous continuerons nos efforts de sensibilisation pour aider les éditeurs de site web à utiliser du HTTPS moderne et sûr.
Les utilisateurs devraient toujours s’assurer que Firefox soit à jour dans sa dernière version pour disposer des mises à jour et fonctionnalités de sécurité les plus récentes en se rendant à https://www.mozilla.org/firefox.
Les questions concernant des politiques de Mozilla relatives à SHA-1 basé sur des certificats doivent être orientées vers le forum mozilla.dev.security.policy (en anglais).
Infographie “Shattered” de Google
Traduction et relecture : Mozinet, Hellosct1 et anonymes
1 De Mozinet -
Dans Firefox 51 (version sable actuelle) la préférence cachée
security.pki.sha1_enforcement_levelétait par défaut sur « 2 », mais a été passée à distance à « 4 » (vous aurez peut-être à redémarrer Firefox pour le constater) pour désactiver SHA-1.Voir Firefox Site Compatibility pour des références