Auteur Sujet: This page is insecure (broken HTTPS). SHA-1 deprecated ! (Lu 22765 fois)

Gabi · « **Réponse #60 le:** 17 février 2017 à 12:10:46 »

Citation de: kgersen le 17 février 2017 à 11:56:51

Fin janvier, Google est devenu Root CA Authority en rachetant GlobalSign R2 and R4. En // a cela ils intègrent maintenant directement une racine dans leur produits (tout Alphabet pas que Google).
Ca leur permet de ne plus dépendre d'un tiers pour chiffrer leur produits et services.

source: https://security.googleblog.com/2017/01/the-foundation-of-more-secure-web.html

site Google Root CA: https://pki.goog/

Donc leur certifs ne devraient plus dépendre de GIAG2 (sous-CA de GeoTrust gérée par Google) et seront probablement directement embarqués dans Chrome.

Pour le moment, les "leaf" certificats de Google (en prod du moins...) sont toujours signés via leur ancienne autorité intermédiaire. Honnêtement, je pense que ça prendre un peu de temps avant que tous leurs produits ne se mettent à utiliser leur nouveaux roots...

Citer

Problème : à chaque démarrage de chrome sur le site de Google, les deux certificats racine GeoTrust sont recrée, a l'identique et en SHA1.

Si tu es sous Windows, c'est normal : Chrome délègue à l'OS le choix de truster ou pas les autorités racines. Sous Windows, par défaut, quand une nouvelle autorité racine est rencontrée dans un trust path (c'est ce qui se passe une fois que tu les supprimes), Windows contacte Microsoft pour savoir si oui ou non il doit faire confiance à cette nouvelle autorité. C'est désactivable via GPO.
Ce comportement permet de n'embarquer par défaut dans Windows que les roots les plus courantes, et d'aller télécharger "à la demande" les autorités un peu plus exotiques.

vivien · « **Réponse #61 le:** 17 février 2017 à 13:50:03 »

Citation de: Gabi le 17 février 2017 à 12:10:46

Si tu es sous Windows, c'est normal : Chrome délègue à l'OS le choix de truster ou pas les autorités racines. Sous Windows, par défaut, quand une nouvelle autorité racine est rencontrée dans un trust path (c'est ce qui se passe une fois que tu les supprimes), Windows contacte Microsoft pour savoir si oui ou non il doit faire confiance à cette nouvelle autorité. C'est désactivable via GPO.
Ce comportement permet de n'embarquer par défaut dans Windows que les roots les plus courantes, et d'aller télécharger "à la demande" les autorités un peu plus exotiques.

Ca j'ai bien compris, mais pourquoi je reçois encore en 2017 un certificat SHA1 ?

« **Réponse #62 le:** 17 février 2017 à 17:29:20 »

Citation de: Gabi le 17 février 2017 à 12:10:46

Si tu es sous Windows, c'est normal : Chrome délègue à l'OS le choix de truster ou pas les autorités racines. Sous Windows, par défaut, quand une nouvelle autorité racine est rencontrée dans un trust path (c'est ce qui se passe une fois que tu les supprimes), Windows contacte Microsoft pour savoir si oui ou non il doit faire confiance à cette nouvelle autorité. C'est désactivable via GPO.
Ce comportement permet de n'embarquer par défaut dans Windows que les roots les plus courantes, et d'aller télécharger "à la demande" les autorités un peu plus exotiques.

Il permet surtout de dissimuler à l'utilisateur combien de racines de confiance existent.

Hugues · « **Réponse #63 le:** 17 février 2017 à 18:17:42 »

Spoiler : trop

kgersen · « **Réponse #64 le:** 17 février 2017 à 19:47:15 »

Citation de: vivien le 17 février 2017 à 13:50:03

Ca j'ai bien compris, mais pourquoi je reçois encore en 2017 un certificat SHA1 ?

parce que c'est la racine. C'est le certif final (leaf) ou les intermédiaires qui doivent pas être en SHA1.

vivien · « **Réponse #65 le:** 17 février 2017 à 20:55:41 »

Donc :

GeoTrust (expiration 22 août 2018) est en SHA1 mais cela n'est pas gênant pour Chrome
GeoTrust Global CA (expiration 21 août 2018) est en SHA1 et c'est lui qui fait afficher le message "Le certificat de ce site arrive à expiration en 2017 ou à une date ultérieure, et la chaîne de certificats contient un certificat signé avec SHA-1."
Google Internet Authority G2 (expiration 26 avril 2017) est en SHA256 => ok
*.google.com (expiration 26 avril 2017) est en SHA256 => ok

Quelle est la procédure pour avoir GeoTrust Global CA en SHA256 ?

kgersen · « **Réponse #66 le:** 17 février 2017 à 21:20:41 »

t'as un intermédiaire en plus on dirait:

chez moi sur W10 :

vivien · « **Réponse #67 le:** 17 février 2017 à 21:27:32 »

Bien vu. Sur mon Windows vista, je n'ai ce souci qu'avec Google Chrome.

Internet Explorer 9 :

Firefox 51 :

kgersen · « **Réponse #68 le:** 17 février 2017 à 22:00:15 »

Chrome et IE sont censés utiliser les mêmes certificats non , ceux de l'OS.

Apres c'est Vista ... pas vraiment d'interet a perdre du temps avec cet OS...

turold · « **Réponse #69 le:** 17 février 2017 à 22:27:34 »

On peut être contre Vista, mais il est (encore) supporté aujourd'hui.

Par contre, si c'est le seul argument ici (à confirmer par Vivien), cela se terminera le 11 avril, dans un peu moins de 2 mois.

« **Réponse #70 le:** 17 février 2017 à 23:26:59 »

Citation de: vivien le 16 février 2017 à 22:12:55

Même date de création pour moi, mais il expire plus tôt, en 2018 :

Le tien est délivré par Equifax, pas GeoTrust.

turold · « **Réponse #71 le:** 18 février 2017 à 06:24:33 »

Du coup, Vivien, tu m'as fait penser que j'avais un test https en plan... depuis 2015.^^

Et là, bonne surprise de la part de mon hébergeur (que j'avais remarqué vers mi-2016 mais c'était la transition côté communication). Même si je vais faire un ticket, dans les prochains jours, car j'ai 3 reproches à leur faire sur les paramètres de sécurité (2), et un peu sur le certificat automatique lui-même (1).

Mais en attendant, et comme je n'ai plus de Vista sous la main, je voudrai savoir comment est géré mon https avec cet OS, stp Vivien: https://alexou.fr.cr/blog/ (j'ai déjà désactivé le http via htaccess du côté de mon site, mais pas encore mis les images en https sur ce forum).