none
Certificats migration SHA1 --> SHA256 RRS feed

  • Question

  • Bonjour, 

    En suivant plusieurs sujets sur le net, j'ai procédé à la modification de l'algorithme de hachage de SHA1 vers SHA256 avec un nouveau certificat racine ne venant pas remplacer l'ancien (trop de services dépendent de l'ancien, les certificats seront re-générés au fur et à mesure).

    Lorsque je génère un nouveau certificat avec mon nouveau certificat racine, je vois bien l'algorithme de signature et de hache en SHA256, par contre l'algorithme d'empreinte numérique est toujours en SHA1

    Pourriez-vous m'éclairer?

    Merci d'avance :)

    vendredi 25 octobre 2019 09:52

Réponses

  • OK, aucune inquiétude à avoir vis-à-vis de la sécurité : on parle ici de l'algorithme de génération de l'empreinte (thumbprint)

    L'empreinte sert juste à identifier le certificat en créant une sorte d'identifiant basé sur le certificat lui-même. L'empreinte peut être faite avec du MD5 (obsolète), SHA1 ou SHA256.

    Dans le cas de la sécurité des certificats, on regarde l'algorithme de signature qui, dans votre cas est bien RSA256 : c'est cette partie qui va garantir la qualité du chiffrement.

    Cet article résume bien la situation : https://www.thesslstore.com/blog/ssl-certificate-still-sha-1-thumbprint/

    Si vous voulez aussi que la signature soit en SHA256, pas de choix, il faut remplacer l'AC.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    • Proposé comme réponse Sylvain COUDEVILLE vendredi 25 octobre 2019 11:53
    • Marqué comme réponse Martin Bfv vendredi 25 octobre 2019 13:20
    vendredi 25 octobre 2019 11:53

Toutes les réponses

  • Bonjour,

    Alors mon conseil : générez tout de même un certificat racine en SHA256 et déployez-le via un GPO.

    Sinon, concernant votre problème d'empreinte en SHA1 : avez-vous une photo d'écran ? Je suppose que ce que vous voyez est l'empreinte du certificat racine, qui reste de facto en SHA1 tant que vous ne le régénérez pas totalement.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    vendredi 25 octobre 2019 10:17
  • 


    • Modifié Martin Bfv vendredi 25 octobre 2019 11:46
    vendredi 25 octobre 2019 11:44
  • OK, aucune inquiétude à avoir vis-à-vis de la sécurité : on parle ici de l'algorithme de génération de l'empreinte (thumbprint)

    L'empreinte sert juste à identifier le certificat en créant une sorte d'identifiant basé sur le certificat lui-même. L'empreinte peut être faite avec du MD5 (obsolète), SHA1 ou SHA256.

    Dans le cas de la sécurité des certificats, on regarde l'algorithme de signature qui, dans votre cas est bien RSA256 : c'est cette partie qui va garantir la qualité du chiffrement.

    Cet article résume bien la situation : https://www.thesslstore.com/blog/ssl-certificate-still-sha-1-thumbprint/

    Si vous voulez aussi que la signature soit en SHA256, pas de choix, il faut remplacer l'AC.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    • Proposé comme réponse Sylvain COUDEVILLE vendredi 25 octobre 2019 11:53
    • Marqué comme réponse Martin Bfv vendredi 25 octobre 2019 13:20
    vendredi 25 octobre 2019 11:53
  • Merci Sylvain pour vos réponses 
    vendredi 25 octobre 2019 13:28