Firefox 43 a introduit un changement pour rejeter les nouveaux certificats de sécurité effectués en utilisant un vieil algoritme appelé « SHA-1 ». Microsoft et Google vont bientôt faire de même avec leurs produits. Depuis cette modification, certains utilisateurs de Firefox avec des outils de tierce partie peuvent avoir de problèmes pour accéder à des sites web sécurisés (HTTPS), tel que résumé dans cet article du blog dédié à la sécurité de Mozilla. Cet article explique comment savoir si le problème vous concerne et si c'est le cas, comment le résoudre.
Table des matières
Quelle est l'origine du problème ?
Certains outils interceptent votre trafic sécurisé sur Internet pour déchiffrer vos sessions sécurisées et vous procurer certains fonctionnalités. De tels outils peuvent inclure des scanners de sécurité ou des produits antivirus. D'autres outils peuvent proposer à votre navigateur un certificat SHA-1. Quand Firefox rencontre un tel certificat, il rejette la connexion, et affiche le message d'erreur SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED. Comme ces outils interceptent toutes les sessions HTTPS et remplacent le certificat réel par un certificat SHA-1, vous verrez cette erreur sur tous les sites en HTTPS, même si le certificat réel du site n'utilise pas SHA-1.
Comment savoir si je suis concerné ?
Si vous accédez à cet article depuis Firefox, vous êtes en sécurité. Sinon, si vous voyez une page d'erreur en essayant d'accéder à un site web HTTPS (comme https://support.mozilla.org ou https://blog.mozilla.org), cliquez sur sur la page d'erreur. Si vous voyez s'afficher le code d'erreur SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED, c'est que vous êtes impacté.
Que puis-je faire pour régler ce problème ?
Le meilleur moyen de régler le problème est d'installer la dernière version de Firefox depuis la page de téléchargement de Firefox, qui doit comporter une résolution du problème. Vous devrez télécharger et lancer l'installeur Firefox manuellement, en utilisant une version intacte (sans message d'erreur) de Firefox ou un autre navigateur. Si vous êtes affecté par ce problème, Firefox ne se mettra pas à jour automatiquement, d'où la nécessité d'installer manuellement.
- Saisissez about:config dans la barre d’adresse de Firefox, puis appuyez sur EntréeRetour
Une page d’avertissement peut apparaître. Cliquez sur pour accéder à la page about:config. - Dans la page about:config, recherchez la préférence security.pki.sha1_enforcement_level.
- Double-cliquez sur la préférence security.pki.sha1_enforcement_level pour passer sa valeur à 0
- Fermez la page about:config et redémarrez Firefox pour que ces modifications prennent effet.
Quelle est la solution correcte à ce problème ?
Ce problème se produit parce qu'une application tierce que vous utilisez intercepte les connexions sécurisées effectuées par votre navigateur. Ce faisant, l'application remplace le certificat du site web par un cetificat qui utilise une signature SHA-1. Pour éviter les problèmes de certificat SHA-1 à l'avenir, vous devriez essayer d'identifier l'outil qui produit les certificats SHA-1 (il s'agit probablement d'un scanner de sécurité ou d'un produit antivirus) et de le configurer pour qu'il utilise un algorithme de chiffrement de signature plus robuste. Vous devriez également vous assurer que tous les produits que vous utilisez et qui sont potentiellement vulnérables aux attaques de l'homme du milieu sont bien à jour.