Clés privées et publiques de 1024 bits

Recommandations du NIST quant à l'utilisation systématique de clés de 2048 bits à partir de 2014


Recommandations pour les certificats numériques d'une clé de 1024 bits en 2010 (y compris les certificats SSL)

Selon les recommandations du NIST (National Institute of Standards and Technology) aux Etats-Unis, les Autorités de Certification (AC) ont été encouragées à suivre les directives publiées dans les communiqués 800-57 et 800-131A. Il a été alors conseillé aux AC de déprécier la signature de certificats numériques générés à partir d'une clé privée RSA de 1024 bits à partir du 1er janvier 2011, et de cesser complètement l'émission de ces certificats à partir du 1er janvier 2014 (tableau 2, section 3 du communiqué 800-121A). On s'est alors accordé sur le fait que la gestion des certificats de longue durée dont la date d'expiration allait au-delà du 31 décembre 2013 devait être initiée vers la fin du délai conseillé.

En tant qu'Autorité de Certification visionnaire dont la mission est l'amélioration du déploiement et de l'utilisation du protocole SSL, GlobalSign a aidé sa clientèle à rester protégée et à bénéficier du plus haut niveau de sécurité disponible par la mise en place d'un niveau de sécurité plus élevé que celui conseillé par le NIST. GlobalSign a pris alors une longueur d'avance puisqu’elle rejette définitivement les CSR générés avec une clé de 1024 bits déjà depuis le 1er janvier 2011. Cette décision a accompagné celle prise par GlobalSign en 1998 de créer un certificat racine de 2048 bits. De ce fait, l'intégralité de la hiérarchie de services GlobalSign possédait alors une longueur de clé de 2048 bits, y compris les ACs émettrice de chaque certificat, les LRC et les répondeurs OCSP.

Recommandations pour les certificats numériques d'une clé de 1024 bits en 2013

En 2012, les recommandations du NIST ont été adoptées par le CA/ Browser Forum en incorporant la date du 31 décembre 2013 au sein de l'Appendix A des exigences de base pour l'émission et la gestion des certificats de confiance publique. Les Autorités de Certification ont ensuite reçu des instructions des programmes de racine des navigateurs, tels que le programme Mozilla CA Certificate Policy, afin de discontinuer les certificats de signature d'une clé de 1024 bits RSA pour la date limite. Certains clients GlobalSign ont ainsi pu bénéficier du niveau de sécurité le plus élevé pendant près de 3 ans de plus que les clients d'autres Autorités de Certification qui, elles, ont continué à émettre des certificats de 1024 bits RSA. Dans les quelques années à venir, les risques de factorisation de nombres premiers 1024 RSA ne vont cesser d'augmenter, augmentant ainsi également la probabilité de réussite des attaques de l'homme du milieu sur les certificats de longue durée utilisés pour les transactions en ligne ou sur les données volées par un tiers dans le but de les déchiffrer ultérieurement (PRISM).

Impact sur les clients GlobalSign qui utilisent une clé 1024 bits en 2013

Afin de se conformer et de garder une longueur d'avance sur ces exigences sectorielles, GlobalSign a pris la décision de révoquer officiellement tous les certificats 1024 bits encore utilisés après le 30 novembre 2013.

Si vous êtes l'un de ces clients, il vous faudra alors mettre à jour votre certificat. Même si vous avez un certificat 1024 bits émis avant le 1er janvier 2011 et dont la date d'expiration s'étend au-delà du 31 décembre 2013, nous vous recommandons très fortement de mettre à jour votre certificat le plus tôt possible, et ce, avant le 30 novembre 2013. La procédure est simple, il suffit de réémettre votre certificat. Si vous n'effectuez pas la réémission, il vous faudra commander un nouveau certificat après cette date. GlobalSign vous contactera prochainement, afin de vous assister dans la mise à jour gratuite de votre certificat.

En attendant, si vous avez des doutes sur la clé utilisée pour votre certificat actuel, vous pouvez utiliser notre outil de contrôle d'installation SSL qui vous donnera toutes les informations relatives à votre certificat :https://sslcheck.globalsign.com/en_GB

Pour davantage d'informations, n'hésitez pas à lire notre foire aux questions ou à nous contacter.