microsoft

Microsoft annonce depuis quelques temps déjà le futur blocage du SHA-1 utilisé pour la signature des certificats TLS dans ses navigateurs. Aujourd’hui le calendrier se précise.

  • Dans un premier temps, lors de la mise à jour de Windows 10 cet été (Actif dès maintenant pour les Insiders), Microsoft EDGE et IE11 considéreront les sites utilisant des certificats signés en SHA-1 comme non sécurisés et n’afficheront  plus l’icône cadenas  dans la barre d’adresse. Les sites resteront encore fonctionnels.
  • Par contre en Février 2017, Microsoft EDGE et IE11 bloqueront complétement les certificats signés en SHA-1 rendant les sites les utilisant inaccessibles.

Cette dépréciation s’appliquera en même temps sur les OS suivant : Windows 7, Windows 8.1 et Windows 10.

  • Vous pouvez trouver plus d’info ICI

Vous pouvez dès à présent faire la chasse à ces certificats. Voici une astuce pour vous permettre de les enregistrer dans un répertoire lorsque vous visitez un site les utilisant.

  • Ouvrez une invite de commande en administrateur.
  • Tout d’abord nous allons créer un répertoire pour la journalisation avec les droits idoine :
    set LogDir=C:\Log
    mkdir %LogDir%
    icacls %LogDir% /grant *S-1-15-2-1:(OI)(CI)(F)
    icacls %LogDir% /grant *S-1-1-0:(OI)(CI)(F)
    icacls %LogDir% /grant *S-1-5-12:(OI)(CI)(F)
    icacls %LogDir% /setintegritylevel L
  • Activons ensuite la journalisation
    Certutil -setreg chain\WeakSignatureLogDir %LogDir%
    Certutil -setreg chain\WeakSha1ThirdPartyFlags 0x80900008
  • Lorsque vous aurez terminé vos tests, exécutez la commande suivante pour supprimer la journalisation.
    Certutil -delreg chain\WeakSha1ThirdPartyFlags
    Certutil -delreg chain\WeakSignatureLogDir