On 2015-03-09 11:32:58 +0100, Vincent Lefevre wrote: > On 2015-03-06 19:37:02 +0100, andre_deb...@numericable.fr wrote: > > Y a t-il une action à faire sur le serveur pour passer de SHA-1 vers > > SHA-2 ? > > Je ne pense pas. L'action à faire, c'est juste la mise à jour du > certificat. Mais que la fonction de hachage utilisée pour le nouveau > certificat soit SHA-1 ou SHA-2, c'est la même manipulation.
J'ai oublié de dire... Le passage de SHA-1 à SHA-2, cela concerne en fait toute la chaîne de certification. (Il est peut-être possible de mixer, mais ce serait un problème de sécurité à cause d'une vulnérabilité potentielle au point le plus faible, SHA-1.) Donc ne pas oublier de mettre aussi à jour le certificat intermédiaire! Cela fait deux fois que je vois cet oubli (Nerim sur un de ses serveurs IMAP il y a quelques mois, et Inria pour sa forge avec la mise à jour d'hier). Les certificats root aussi, mais il sont fournis automatiquement par le système ou le navigateur. Apparemment, c'est surtout ça qui pose problème: certains vieux navigateurs n'ont pas tous les certificats root SHA-2 nécessaires en pratique. Pour être sûr que tout est OK, tester avec l'outil SSL Labs ou des clients locaux (OpenSSL...), mais pas des navigateurs web comme Firefox: apparemment le certificat intermédiaire peut être en cache car un autre site l'utilise, et on ne se rend alors pas compte de la mauvaise config du serveur. -- Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20150310093849.ga17...@xvii.vinc17.org
