on sait depuis 2005 que SHA-1 est cassé.
on sait que vers 2018 il tombera pour pas trop cher, voir même avant.
Son utilisation sur Internet est considéré comme obsolète depuis 2011 par le "
CA/Browser Forum", entité qui réuni les CA, dont Startcom, et les éditeurs de navigateur (Chrmoe, IE, Safari, FF,etc).
En
septembre 2014: Google annonce qu'ils vont progressivement arreter le support de SHA-1.
Les premiers phases seront juste visuelles et n'empecheront en rien le fonctionnement des sites:
Ce plan a même été décalé d'une version puisque la phase 'rouge' arrive avec Chrome 42 au lieu de 41.
On est avril 2015, les sites fonctionnement toujours, l'utilisateur n'est pas gêné (c'est uniquement visuel: Chrome 42 affiche du "rouge" mais ne bloque pas le site)
Ceux qui ont des SHA-1 a durée de vie courte ne sont pas impactés (par exemple: google.com est en SHA-1 a durée de vie de 3 mois)
Il faut quoi de plus ? franchement on peut pas en vouloir aux devs de Chrome dans cette histoire.
En plus la on en parle parce que c'est arrivé avec lafibre.info qui dépend d'un certif de Starcom. Si ce dernier avait correctement fait son job de CA on ne s'en serait même pas aperçu...et on en parlerai pas ici.
Le probleme est toujours le même: tout le monde sait qu'il faut agir mais quasi personne agit sauf sous la contrainte. L'objectif de Google est de forcer les CA a agir et a part certains comme Starcom ca a globalement marché avant d'arriver a la phase rouge. La phase rouge permet aux utilisateurs d'agir sur les sites qui agiront sur les CA. C'est hélas le seul moyen pour forcer certains a agir: attendre que l'utilisateur final se rend compte de quelque chose.