REMARQUE : Si vous exécutez modus sous Windows 2008 ou Windows 2012, cela ne s’applique pas à vous
La famille d’algorithmes de hachage SHA a été développée par le National Institute of Standards and Technology (NIST) et est utilisée par la majorité des certificats SSL. Actuellement, le plus courant de ces algorithmes de hachage est SHA1, qui a été adopté par les autorités de certification comme successeur de l’algorithme MD5 parce qu’il représentait une avancée majeure dans la sécurité cryptographique. Au fil des ans, la puissance de calcul s’est renforcée et le niveau de chiffrement SHA1 a été considéré comme n’étant pas suffisamment sûr. Par conséquent, il y a eu une avancée majeure dans la transition de SHA1 à l’algorithme SHA2 plus puissant. L’annonce récente de Microsoft et de Google concernant la dépréciation de la prise en charge de SHA1 dans les navigateurs a accéléré cette transition. Il y a cependant quelques systèmes qui continuent de fonctionner à l’aide de SHA1. Cela inclut la plupart des serveurs exécutant Windows 2003 (pas R2). Les utilisateurs qui continuent d’utiliser des certificats de sécurité basés sur SHA1 peuvent s’attendre à recevoir des avertissements de sécurité des navigateurs Web d’ici la fin de ce mois (octobre).
À partir du 1erjanvier 2017, le support de SHA1 prendra fin et il est fort probable que des mises à jour seront envoyées à toutes les principales plateformes pour commencer à erreurr les demandes SHA1.
« Le plan d’obsolescence SHA-1 de Microsoft diffère par le temps d’activation et le comportement du navigateur. L’avis de sécurité de Microsoft sur « Obsolescence de l’algorithme de hachage SHA-1 pour le programme de certificat racine de Microsoft » nous a informés que Windows cessera d’accepter les certificats SSL SHA-1 le 1er janvier 2017. Pour continuer à fonctionner avec les plateformes Microsoft, tous les certificats SSL SHA-1 émis avant ou après cette annonce doivent être remplacés par un équivalent SHA-2 d’ici le 1er janvier 2017. Les plans de dépréciation SHA-1 ont également une incidence sur les certificats intermédiaires SHA-1; Les certificats d’entité finale SHA-2 doivent être enchaînés aux certificats intermédiaires SHA-2 pour éviter les comportements défavorables du navigateur décrits ci-dessus. Les certificats racine SHA-1 ne sont pas affectés. » — Tiré du site Web de Symantec.
Le problème avec cela est qu’un serveur Windows 2003 Vanilla non corrigé ne prend pas en charge SHA2 nativement. Même un Windows 2003 corrigé ne prend pas en charge SHA1. Pour pouvoir prendre en charge SHA2, vous devez exécuter Windows 2003 R2 SP2 entièrement corrigé.
« Les utilisateurs de Windows n’ont rien à faire en réponse à cette nouvelle exigence technique – Windows XP Service Pack 3 prend en charge les certificats SSL SHA2, et Windows Server 2003 Service Pack 2 ou version ultérieure ajoute la fonctionnalité SHA2 au certificat SSL en appliquant des correctifs (KB968730 et KB938397). »
En d’autres termes, si vous utilisez Windows 2003R2 SP2 ou supérieur avec les correctifs connexes, tout devrait bien se passer. Cependant, vous devez vérifier vos certificats actuels pour confirmer s’ils sont encodés à l’aide de SHA1 ou SHA2.
Si vous n’êtes pas corrigé, vous devriez vraiment commencer à mettre à jour votre Windows 2003R2 avec les derniers Service Packs et correctifs de sécurité. Selon GlobalSign, pour prendre en charge SHA2 (SHA 256) avec Windows 2003, vous avez besoin de Windows 2003 R2 SP2 + MS13-095 (KB2868626). Plus d’informations ici.
KB2868626 devrait déjà être installé si votre serveur passe par le processus normal de mise à jour de Windows.
https://support.microsoft.com/en-us/kb/2868626
%MCEPASTÉBINE%
Qu’est-ce que tout cela signifie pour vous?
Pour les utilisateurs de modus exécutant Windows 2003 « Vanilla » :
À compter du 1ernovembre 2015, tout utilisateur qui frappe votre serveur Web via https recevra des avertissements de certificat. Par exemple, Google Chrome indiquera que le site est « sécurisé mais avec des problèmes ».
De plus, vous pouvez rencontrer des problèmes liés à votre capacité à recevoir des pourriels et les mises à jour de virus peuvent être retardées car elles passent par https. Vers la fin du mois d’octobre, notre équipe vous fournira des entrées d’hôte que vous pourrez mettre dans votre fichier hôte Windows pour rediriger les demandes de mise à jour vers ces serveurs, afin que vous puissiez continuer à recevoir des mises à jour de spam et de virus sans aucun problème lors de l’utilisation de SHA1.
Il est fortement conseillé de quitter Windows 2003 dès que possible. Le système d’exploitation lui-même n’est pas pris en charge par Microsoft à ce stade et Vircom cesse complètement le support de Windows 2003 à partir de la version 6.1 de modusGate et modusMail.
Vircom peut vous aider dans votre migration vers de nouveaux serveurs. Nous avons une vaste expérience dans ce domaine et si vous ne souhaitez pas passer à un nouveau serveur et à un nouveau système d’exploitation, nous pouvons également vous déplacer vers notre service de filtrage des pourriels en nuage comme alternative (pour ceux qui utilisent modusGate).
Windows 2003 R2 SP2 (entièrement corrigé)
Les clients utilisant Windows 2003 R2 SP2 avec toutes les mises à jour ne seront pas affectés par ces changements. Nos tests indiquent que modus n’a aucun problème à obtenir des mises à jour des serveurs de mise à jour basés sur SHA2.
Cependant, si vous offrez un accès https à votre webMail ou webQuarantine et que le certificat utilisé est SHA1, vos utilisateurs recevront des avertissements de sécurité. Si vous passez à un certificat SHA2, cela devrait résoudre le problème.
Windows 2003 est toujours fin de vie, nous vous recommandons donc fortement de migrer vers Windows 2008 ou 2012. Avec la sortie de modus 6.1, Windows 2003 ne sera PLUS pris en charge. Si vous avez besoin d’aide, notre équipe de soutien est là pour vous aider.
La liste des serveurs à mettre dans votre fichier hôte sera fournie vers la fin du mois d’octobre.
Veuillez contacter notre équipe d’assistance si vous avez d’autres questions.
Sincèrement,
