Microsoft annonce depuis quelques temps déjà le futur blocage du SHA-1 utilisé pour la signature des certificats TLS dans ses navigateurs. Aujourd’hui le calendrier se précise.
- Dans un premier temps, lors de la mise à jour de Windows 10 cet été (Actif dès maintenant pour les Insiders), Microsoft EDGE et IE11 considéreront les sites utilisant des certificats signés en SHA-1 comme non sécurisés et n’afficheront plus l’icône cadenas dans la barre d’adresse. Les sites resteront encore fonctionnels.
- Par contre en Février 2017, Microsoft EDGE et IE11 bloqueront complétement les certificats signés en SHA-1 rendant les sites les utilisant inaccessibles.
Cette dépréciation s’appliquera en même temps sur les OS suivant : Windows 7, Windows 8.1 et Windows 10.
- Vous pouvez trouver plus d’info ICI
Vous pouvez dès à présent faire la chasse à ces certificats. Voici une astuce pour vous permettre de les enregistrer dans un répertoire lorsque vous visitez un site les utilisant.
- Ouvrez une invite de commande en administrateur.
- Tout d’abord nous allons créer un répertoire pour la journalisation avec les droits idoine :
set LogDir=C:\Log
mkdir %LogDir%
icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)
icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)
icacls %LogDir% /setintegritylevel L - Activons ensuite la journalisation
Certutil -setreg chain\WeakSignatureLogDir %LogDir%
Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008 - Lorsque vous aurez terminé vos tests, exécutez la commande suivante pour supprimer la journalisation.
Certutil -delreg chain\WeakSha1ThirdPartyFlags
Certutil -delreg chain\WeakSignatureLogDir