Plus de 100 000 sites utilisent des certificats SSL en RSA 1024 bits

Les certificats SSL utilisant des clés RSA de 1024 bits ne sont en principe plus supportés depuis le 31 décembre 2013. Ils restent pourtant employés sur plus de 107.000 sites web.

Avec la version 32 de Firefox sortie récemment (voir « Firefox 32 veut allier performances et flexibilité »), Mozilla a décidé de ne plus reconnaître les certificats utilisant des clés RSA de 1024 bits, jugées trop peu sécurisées. Ces derniers sont utilisés dans le cadre de sites web accessibles en HTTPS.

Selon les données du Project Sonar, qui indexe plus de 20 millions de sites web, plus de 107 000 sites sont concernés par cette mesure, et ne sont donc aujourd’hui plus considérés comme sécurisés par le navigateur de la Fondation Mozilla. Un chiffre étonnamment élevé, sachant que les certificats 1024 bits ne devraient plus être employés depuis fin 2013.

Internet Explorer et Chrome

Le navigateur web de Microsoft, Internet Explorer, devrait suivre le mouvement en octobre. La firme demande aux opérateurs de sites web de basculer sans délai sur des certificats utilisant des clés RSA de 2048 bits ou plus.

Google s’est attaqué dès le début d’année au chantier des clés RSA de moins de 2048 bits. Il se penche dorénavant sur un autre sujet : l’abandon des certificats SSL SHA-1 au profit de leur équivalent SHA-2.

Cette opération se fera en plusieurs étapes : avec Chrome 39, les sites utilisant une signature SHA-1 seront marqués comme sécurisés, avec une erreur mineure. Avec Chrome 40, les sites concernés seront indiqués comme neutres en termes de sécurité. Chrome 41 – prévu pour Q1 2015 – les affichera comme non sécurisés.

Sur le même thème

Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette
Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL
Après Heartbleed, Google livre BoringSSL son fork OpenSSL

Lire aussi : QUIC : le protocole de Google rend-il le web moins sûr ?