Blog
Actualité
Actualité de la sécurité

Mise à jour du certificat SSL : Migration de SHA-1 vers SHA-256

Amber SteelApril 13, 2015
Nouveau bulletin d'information pour la communauté LastPass: Dans un effort continue pour fournir la meilleure sécurité aux utilisateurs de Lastpass, notre certificat SSL pour LastPass.com sera en transition ce soir d'un certificat SHA-1 à un certificat SHA-256 . Les nôtres continuent d'être des certificats "Thawte Extended Validation" (EV). Pourquoi maintenant? Nous avons commencé le processus l'an dernier, mais en raison de l'utilisation courante des anciennes versions de XP nos efforts sont restés au point mort. Maintenant que Google et d'autres poussent proactivement vers SHA-256, nous sommes confiants de pouvoir effectuer cette transition avec un impact minimal sur notre communauté. Tous ces changements vont se faire dans l'ombre , de manière à ce que les utilisateurs LastPass ne devraient pas rencontrer quelque problème qu'il soit ou subir d'interruption de service. Des préoccupations ou des rapports ? Merci de nous le faire savoir ci-dessous ou en contactant notre équipe du Support.

SHA-quoi?

Vous vous demandé de quoi il s'agit ? Vous savez qu'il faut chercher l' icône "cadena fermé" ainsi que HTTPS au début de l'URL d'un site web . Ces détails indiquent que vous êtes sur un site à connection sécurisée . Cette connection sécurisée est crée avec un certificat SSL (empruntant le “S” à HTTPS). Le certificat SSL , est délivré par une Autorité de Certification (CA), qui encrypte votre connection et vérifie que vous êtes connecté à un site web réel . Cette autorité (CA) condense le certificat en l'exécutant avec un algorithme de hachage unidirectionnel, puis "signe" cryptographiquement cette version condensée du certificat. La plupart des sites web qui utilisent SSL utilisent SHA pour créer ce hachage, avec SHA-1 étant le plus largement utilisé. Ces hachages unidirectionnels sont uniques à chaque certificat de site web. Lorsque votre navigateur évalue le certificat d'un site web, il calcule le hachage SHA-1 , puis le compare au hachage signé que le site web propose comme vérification. S'ils correspondent, le navigateur donne le feu vert et vous savez que vous informations sont sécurisées. Le problème c'est que SHA-1 n'est plus aussi fort qu'il l'était avant. Maintenant que les ordinateurs sont plus rapides et moins chers, le risque augmente que les attaquants puisse forger un certificat et tromper le navigateur en lui faisant croire qu'il se connecte au bon site web. Les fournisseurs convergent maintenant vers la nouvelle génération d'algorithme plus puissant SHA-2 pour augmenter la sécurité et se protéger contre les attaques . SHA-2 crée des hachages plus long et résiste à des attaques pour lesquelles SHA-1 est vunérable. Si vous utilisez Chrome, vous avez certainement commencé à voir des avertissements de certificat avec les petits icônes jaunes, ce qui fait partie de la stratégie de Google pour aller vers l'extinction de SHA-1 et mettre en marche le web vers le SHA-2. A la fin de la journée,, cette transition n'impacte pas votre expérience d'utilisateur LastPass, mais prolonge notre mission de protéger vos données à mesure que le web évolue. C'est le même LastPass, avec encore plus de sécurité.   Merci de votre écoute, L'équipe LastPass