Clés privées et publiques de 1024 bits

Conformation aux nouvelles directives du secteur

Le NIST recommande l'utilisation systématique de clés de 2048 bits à partir de 2014


Recommandations pour les certificats numériques d'une clé de 1024 bits en 2010

Selon les recommandations du NIST (National Institute of Standards and Technology) aux Etats-Unis, les Autorités de Certification (AC) sont encouragées à suivre les directives publiées dans les communiqués 800-57 et 800-131A. Il est alors conseillé aux AC de déprécier la signature de certificats numériques générés à partir d'une clé privée RSA de 1024 bits, et ce, dès le 1er janvier 2011, et de cesser complètement l'émission de ces certificats à partir du 1er janvier 2014 (tableau 2, section 3 du communiqué 800-121A). On s'accorde alors sur le fait que la gestion des certificats de longue durée dont la date d'expiration va au-delà du 31 décembre 2013 devrait être initiée vers la fin du délai conseillé.

En tant qu'Autorité de Certification visionnaire dont la mission est l'amélioration du déploiement et de l'utilisation du protocole SSL, GlobalSign aide sa clientèle à rester protégée et à bénéficier du plus haut niveau de sécurité disponible par la mise en place d'un niveau de sécurité plus élevé que celui conseillé par le NIST. GlobalSign prend alors une longueur d'avance. A partir du 1er janvier 2011, GlobalSign rejette définitivement les CSR générés avec une clé de 1024 bits. Cette décision accompagne celle prise par GlobalSign en 1998 de créer un certificat racine de 2048 bits. L'intégralité de la hiérarchie de services GlobalSign possède désormais une longueur de clé de 2048 bits, y compris les ACs émettrice de chaque certificat, les LRC et les répondeurs OCSP.

Recommandations pour les certificats numériques d'une clé de 1024 bits en 2013

En 2012, les recommandations du NIST sont adoptées par le CA/ Browser Forum en incorporant la date du 31 décembre 2013 au sein de l'Appendix A des exigences de base pour l'émission la gestion des certificats de confiance publique. Les Autorités de Certification ont ensuite reçu des instructions des programmes de racine des navigateurs, tels que le programme Mozilla CA Certificate Policy, afin de discontinuer les certificats de signature d'une clé de 1024 bits RSA pour la date limite. Certains clients GlobalSign ont ainsi pu bénéficier du niveau de sécurité le plus élevé pendant près de 3 ans de plus que les clients d'autres Autorités de Certification qui, elles, continuent à émettre des certificats de 1024 bits RSA. Dans les quelques années à venir, les risques de factorisation de nombres premiers 1024 RSA ne vont cesser d'augmenter, augmentant ainsi également la probabilité de réussite des attaques de l'homme du milieu sur les certificats de longue durée utilisés pour les transactions en ligne ou sur les données volées par un tiers dans le but de les déchiffrer ultérieurement (PRISM).

Impact sur les clients GlobalSign qui utilisent une clé 1024 bits en 2013

Si vous êtes l'un de ces clients, il vous faudra alors mettre à jour votre certificat. Même si vous avez un certificat 1024 bits émis avant le 1er janvier 2011 et dont la date d'expiration s'étend au-delà du 31 décembre 2013, nous vous recommandons très fortement de mettre à jour votre certifcat le plus tôt possible, et ce, avant la fin de l'année. La procédure est simple, il suffit de réémettre votre certificat. Si vous n'effectuez pas la reemission, il vous faudra commander un nouveau certificat après cette date. GlobalSign vous contactera prochainement, afin de vous assister dans la mise à jour gratuite de votre certificat.

En attendant, si vous avez des doutes sur la clé utilisée pour votre certificat actuel, vous pouvez utiliser notre outil de contrôle d'installation SSL qui vous donnera toutes les informations relatives à votre certificat : https://sslcheck.globalsign.com/en_GB

Pour davantage d'informations, n'hésitez pas à lire notre foire aux questions ou à nous contacter.