SuisseID

Étapes pour votre SuisseID

Certificat d‘authentification (IAC) de SuisseID désormais avec nouvel algorithme SHA-2

À compter du 1er decembre 2016, toutes les SuisseID nouvellement commandées et prolongées seront émises avec un certificat d'authentification (IAC) avec algorithme SHA-2. Ceci a des effets directs sur le login SuisseID si vous l’avez mis en œuvre à l’aide d’un login de certificat.

Aussi, nous vous prions de mettre en œuvre l’une des deux alternatives suivantes d’ici la fin octobre 2016:

  • Alternative 1: passage au login de certificat sur login via IdP
  • Alternative 2: adaptation du login de certificat à l’algorithme SHA-2

Nous recommandons de passer au login via IdP Ceci nécessite quelques adaptations qui représentent une protection de l’investissement pour l’avenir. Des informations détaillées suivent ci-après.

Si vous effectuez aujourd’hui déjà le login SuisseID via IdP (protocole SAML), d’autres opérations ne sont pas nécessaires actuellement. Veuillez toutefois noter nos informations de fond à la fin de cette information.

Informations détaillés

Alternative 1: passage au login de certificat sur login via IdP
Nous recommandons de passer au login via IdP afin que vous profitiez de différents avantages:

  • Le login de certificat de la SuisseID est délégué à l’IdP. À l’avenir, vous n’aurez plus besoin d’effectuer vous-même des adaptations.
  • Vous n’avez plus l’obligation de faire confirmer la validité du certificat SuisseID.
  • L’IdP de la SuisseID prend aussi en charge les procédés d’authentification alternatifs de la SuisseID. Ainsi, les utilisateurs peuvent par exemple se connecter aussi à l’aide du SuisseID Mobile Service.
  • Les procédés d’authentification alternatifs de la SuisseID sont de plus en plus utilisés et seront très bientôt la méthode de prédilection pour le login. Avec une conversion, vous êtes dès aujourd’hui à même de faire face aux défis à venir.

Vous trouverez les instructions ici.


Alternative 2: adaptation du login de certificat à l’algorithme SHA-2
Pour le passage du login de certificat à SHA-2, il faut une vérification et, le cas échéant, une adaptation de la configuration sur le serveur web pour le login avec des certificats de client: En tant qu’émetteur, il faut inscrire la racine SHA-2.

Vous trouverez les instructions ici.


Informations de fond: algorithmes pour certificats

Le login de certificat avec SuisseID utilise le procédé de cryptage appelé Public Key. Des algorithmes spécifiques sont utilisés pour la génération des clés, le cryptage et le décryptage. Dans le cas de la SuisseID, c’est actuellement l’algorithme SHA-1 pour le login (authentification) et l’algorithme SHA-2 pour la signature.

Les algorithmes ont un certain nombre de points forts et faibles. Ainsi, l’algorithme SHA-1 a longtemps été considéré comme relativement sûr et facile d’utilisation, si bien qu’il est largement répandu. Par contre, l’algorithme SHA-2 est nettement plus complexe et donc plus sûr. Désormais, il est également très répandu. Théoriquement des attaques très sophistiquées contre l’algorithme SHA-1 sont possibles.

Actuellement, un certificat avec algorithme SHA-1 est encore considéré comme suffisamment sûr. Mais aujourd’hui déjà, une page web protégé par un certificat SSL via un algorithme SHA-1 n’est plus considérée comme suffisamment sûre. C’est pourquoi les éditeurs de navigateurs se sont mis à marquer comme non sûrs les certificats SSL protégés par SHA-1.

La situation est semblable pour d’autres usages de certificats avec algorithme SHA-1. Bien que des extensions concrètes de l’utilisation ne soient pas encore connues, nous nous voyons dans l’obligation d’adapter proactivement le certificat d’authentification (IAC) de la SuisseID à l’algorithme SHA-2 d’ici fin 2016. À compter du 1er janvier 2017, toutes les SuisseID nouvelles et prolongées seront émises avec un algorithme SHA-2 aussi bien pour le login (authentification) que pour la signature qualifiée.

SuisseID est une marque déposée de SwissSign SA.