Your browser either does not support JavaScript or you have turned JavaScript off.

Certificats SHA-2 avec ZLD v4.15

KB-3602   |   FAQ   |   Crée le 08.01.2016   |   Dernière mise à jour: 15.05.2020

Pour ne pas transmettre des données sensibles tels que nom d'utilisateur et mot de passe en texte clair, le navigateur utilise, si possible, une connexion cryptée. On reconnaît les sites Web qui supportent les cryptages au préfixe HTTPS:// (HTTPS = Hypertext Transfer Protocol Secure). Le serveur HTTPS soumet un certificat au client avant d'établir la connexion cryptée.

 

Le certificat contient la clé publique ainsi que la valeur de hachage unique qui identifie l'émetteur. Le « Secure Hash Algorithm » (SHA) est utilisé pour calculer la valeur de hachage. Le SHA-1 avec une longueur de hachage de 96 bits est largement répandu, mais connaît des points d'attaque depuis quelque temps. La valeur de hachage pourrait être rompue en encore moins de temps à cause de ces lacunes. Son successeur SHA-2 élimine ces points faibles et offre la création des valeurs de hachage d'une longeur de 224 à 512 bits (SHA-224 à SHA-512).

 

De plus en plus de navigateurs classifient une valeur de hachage créée sur SHA-1 comme dangereuse pour répandre l'utilisation de SHA-2. Si on souhaite établir une connexion sur un appareil avec un certificat basé sur SHA-1, le navigateur génère un message d'erreur et refuse cette connexion. Pour permettre une connexion sécurisée, d'autres paramétrages ou mesures sont nécessaires.

 

 

FAQ






 

  • Question : Est-ce que ce changement touche tous les produits Zyxel ?

    Réponse : Non, seulement les produits configurés ultérieurement pour un accès via HTTPS sont concernés, ou ceux conçus pour un fonctionnement avec HTTPS comme des pare-feux USG. Les interfaces de configuration HTTP ne changent pas.

 

  • Question : Si mon navigateur ne classifie plus le SHA-1 comme sécurisé et refuse la connexion, sera-t-il possible d'utiliser par exemple l'interface HTTP ou le pare-feu USG ?

    Réponse : En principe oui, mais si vous procédiez de telle façon, vous transmettriez des données sensibles non cryptées dans le Net ce qui est contraire aux efforts des fabricants de navigateurs en matière de sécurité. La création d'un nouveau certificat avec SHA-2 serait préférable.

 

  • Question : Pour les pare-feux de quels produits Zyxel peut-on anticiper des mises à jour pour générer des certificats basés sur SHA-2 ?

    Réponse : Beaucoup d'articles de la gamme actuelle permettront de générer les certificats basés sur SHA-2 suite à la prochaine mise à jour. L'actuelle série USG permettra cette génération par exemple à partir du pare-feu v4.15. Cependant, quelques articles plus anciens ne seront plus actualisés. Si le dispositif supporte l'importation de certificats, on peut également utiliser un certificat basé sur SHA-2 créé en externe.

    Mise à jour du firmware disponible : UAG2100/4100/5100 à partir du firmware v4.10
    Mise à jour du firmware prévue : série USG nouvelle génération à partir du firmware v4.15, séries switch 2200/2210/3700 à partir du firmware v4.30

 

  • Question : Je ne peux déjà plus accéder au site de configuration de mon appareil. L'installation du SHA-2 semble impossible. Qu'est-ce qui me reste à faire ?

    Réponse : Les paramétrages pour l'acceptation des certificats basés sur SHA-1 sont plus ou moins bien cachés, selon le navigateur. Consultez les pages d'aide de votre navigateur pour les trouver. Il est également recommandé de télécharger un ancien navigateur en version portable qui s'applique seulement pour accéder temporairement à l'interface utilisateur correspondant. 

 

  • Question : Mon USG est équipé du firmware v4.13 et dispose en même temps d'un certificat SHA-1. Est-il suffisant d'installer la dernière version du firmware, v4.15, pour que le navigateur reçoive un certificat SHA-2 ?

    Réponse : Seule la mise à jour du firmware sera insuffisante, car un nouveau certificat de défaut n'est pas créé par-là. Après la mise à jour, il vous est donc conseillé de générer un nouveau certificat sous Object>Certificate et puis le sélectionner pour le service HTTPS dans le menu www.

    https://www.studerus.ch/fr/support/knowledgebase/detail/3517

 

  • Question: Comment puis-je mettre à jour le firmware sur un pare-feu USG et créer un nouveau certificat, si je ne peux plus me connecter ?

    Réponse : Le firmware peut être transmis du Net local via FTP :

    1. Sélectionner le menu Exécuter
    2. FTP 192.168.1.1 (IP du pare-feu USG)
    3. Se connecter avec nom d'utilisateur admin et mot de passe actuel
    4. bin (conversion du client FTP à la transmission binaire)
    5. put filename ras (filename = nom du fichier firmware, p. ex. 415AAPH1C0.bin)

    Redémarrez puis établissez une connexion terminale SSH (p. ex. à l'aide de Putty). La commande 'debug _CA regenerate' remplace le certificat de défaut par un nouveau certificat, y compris le montage du SHA-2.