Menu

La compatibilité SHA-256

28 oct. 2022

La compatibilité SHA-256

L’Introduction

SHA-2 est une fonction de hachage cryptographique incluant SHA-224, SHA-256 et SHA-512. 256 dans SHA-256 représente le nombre de bit du hachage de sortie ou de digestion lorsque la fonction de hachage est effectuée. Tous les logiciels ne supportent pas la digestion de la taille dans la famille SHA2. Cet article s’intéresse spécifiquement au SHA256 et sa comptabilité avec une variété de plateformes logiciel et de systèmes d’exploitations. En règle générale, SHA256 est supporté sur OS X 10.5+ et Windows XP SP3+.

Lisez notre article sur les Fonctions de Hachage  pour mieux comprendre comment ils fonctionnent et comment ils sont utilisés pour valider les certificats et documents.

Pour la politique de GlobalSign sur l’émission de SHA256 tout comme les dates importantes définis par Google et Mozilla, veuillez lire l’article sur le Déploiement du SHA-256.

Pour obtenir un certificat SHA256 de confiance, veuillez contacter un Représentant GlobalSign

Index:

  1. OS,   Browser, and Server Support
  2. Firewall Support
  3. Toolkits, Libraries, Frameworks, etc.
  4. Database Support
  5. Detailed Operating System Support
  6. E-Mail Clients
  7. Document Signing
  8. Windows Code Signing
  9. SafeNet iKey / eToken Compatibility
  10. Mainframe
  11. Citrix Support
  12. Services

Système de l’exploitation , Navigateur, et le Support serveur  

  
Minimum Version  du Système de l’exploitation
(Certificats)
 
Minimum Version  du Système de l’exploitation
(Certificats Clients)
 
Apple OS X
 
10.5+
 
10.5+
 
Apple iOS
 
3.0+
(Requis dans iOS 9+) [30]
 
3.0+
 
Android*
 
1.0+ (1.6 / 2.2)
 
1.0+
 
Blackberry
 
5.0+
 
5.0+
 
ChromeOS
 
Toutes Versions
 
Toutes Versions
 
Windows [1] [2]
 
XP SP3+
 
XP SP3+
 
Windows Phone
 
7+
 
7+
 
Windows Server
 
2003 SP2 +MS13-095
 
2003 SP2 +MS13-095
     
  
la Version Minimum du Navigateur
   
Chrome** [7]
 
1.0+ (38+)
   
Firefox [7]
 
1.0+
   
Internet Explorer [7]
 
6+
(sur SHA-2 Compatible OS)
   
Konqueror
 
3.5.6+
   
Mozilla [7]
 
1.4+
   
Netscape [7]
 
7.1+
   
Opera [7]
 
6.0+
   
Safari
 
3+
(Délivré avec OS X 10.5)
  
     
  
la Version Minimum du serveur
   
Active Directory Federation Server (AD FS) [28]
 
2.0+
(Doit utiliser un non-CNG CSP)
   
Apache HTTP Server***
 
Dependant de OpenSSL ou
de la version GnuTLS.
   
Apache Tomcat
 
Dependant de la version Java
   
IBM Domino Server [9]
 
9.x avec Fix Pack
   
IBM HTTP Server [10]
 
Toutes version avec GSKit 7.0.4.14
   
IBM WebSphere Server [26]
 
7.0.0.25 / 8.0.04 with PM62842
   
Microsoft Exchange Server
 
Dépend de la version windows du serveur
   
NGINX
 
Dépend de la version OpenSSL
   
Oracle Wallet Manager
 
11.2.0.1+
   
Oracle Weblogic**** [27]
 
10.3.3+

 



*Android à la capacité technique de gérer les certificats SHA256 depuis la version 1.0. En pratique, certains utilisateurs peuvent rencontrer des problèmes avec la validation des certificats qui utilisent des certificats cross (Aide la chaine à faire la liaison avec les racines).

**Chrome est capable de supporter les certificats SHA2 depuis la version 1.0. Toutefois, dans la version 37, cela dépend du système d’exploitation. Par exemple, sur Windows Server 2003 sans MS13-095 ou Windows XP SP2, Chrome ne va pas se connecter aux pages utilisant des certificats SHA-2. En Appliquant MS13-095 au Serveur 2003 ou du SP3 au Windows XP, cela permettra à Chrome de supporter SHA-2 sur ces systèmes anciens.

Chrome 38= peut valider les certificats SHA-2 indépendamment, même sur les systèmes comme Server 2003 sans MS13-095.

***Apache 2.0 est fourni avec mod_ssl par défaut. Les versions antérieures à 2.0 ont besoin d’une installation manuelle de mod_ssl pour supporter le SSL. Mod_gnutls est une alternative à mod_ssl Tirant parti de GnuTLS au lieu des bibliothèques OpenSSL.

****Serveurs Oracle Weblogic 10.3.3 et plus ont le JSSE disponible pour supporter les certificats SSL/TLS et connections. Les anciennes versions exploitent les extensions Certicom qui sont maintenant considérées comme dérpéciées.

10.3.3 est la première version à supporter officiellement le JSSE à prendre en charge officiellement JSSE. Il peut-être activé en se connectant à la console d’administration et en cliquant sur Environnement > Serveurs > Gestion Nom Serveur > Configuration > SSL > Avancé > Utiliser JSSE SSL. Cliquez sur Enregistré; redémarrez votre serveur. Les versions précédant 10.3.3 peuvent manuellement activer JSSE mais ce n’est pas officiellement supporté par Oracle.


 

Le Support Pare-feu

  
La Version Minimum
 
Cisco ASA 5500 [29]
 
8.2 (3.9)

La trousse, les bibliothèques, les cadres etc.  

  
La Version Minimum
 
Java [19]
 
Java 1.4.2+
 
Mozilla NSS [18]
 
3.8+
 
OpenSSL* [3]
 
0.9.8 / 0.9.8o+
 
GNUTLS [12]
 
1.7.4+
 
.NET FX[13]
 
3.5 SP1+


Le support pour SHA-2 à été introduit dans OpenSSL 0.9.8, mais désactivé par défaut avec SSL_library_init(). Dans 0.9.8, la fonction de hachage SAH-2 doit être spécifiquement appelée ou en utilisant OpenSSL_add_all_algorithms() qui peut ne pas être désiré. OpenSSL 0.9.8o active l’algorithme de hachage SHA-2 dans la configuration par défaut.

Support Base de Données  

  La Version Minimum
MYSQL[23] 5.5.5+
PostgreSQL [24] [25] 8.1 / 8.2*


* Le module pgcrypto pour PostgreSQL à introduit le support pour la famille SHA-2 des alritmes de hachage avec la sortie du 8.1 mais seulement pour le module autonome. Le 8.2 à incorporé les fonctions SHA-2 du module pgcrypto dans le cœur PostgreSQL permettant à ces hachages d’être disponible pour PostgreSQL même si les versions installées d’OpenSSL ne le supporte pas.

Le support du système d'exploitation détaillé  

  
SSL Certificates
(côté client)
 
SSL Certificates
(côté Serveur)
 
S/MIME
 
Code Signing
 
Windows XP (SP1, SP2)
 
N/A
 
Windows XP SP3
 
N/A
 
Partiel*
 
Partiel**
 
Windows Vista
 
N/A
 
Partiel**
 
Windows 7 [20]
 
N/A
 
Windows 8
 
N/A
 
Windows 10
 
N/A
          
Windows Server 2003 / 2003 SP1
 
Windows Server 2003 SP2 + MS13-095
 
Windows Server 2008
 
Partiel**
 
Windows Server 2008 R2 [20]
 
Windows Server 2012 & 2012 R2
          
Windows Mobile 5
 
N/A
 
N/A
 
Windows Mobile 6
 
N/A
 
N/A
 
Windows Phone 7
 
N/A
 
N/A
 
Windows Phone 8
 
N/A
 
N/A

  

Remarques sur la compatibilité "partielle":
* S/MIME:

  • Outlook sur Windows XP SP3 peut utiliser des certificats signés avec SHA-256 mais ils ne peuvent pas valider un courrier électronique signé à l'aide de l'algorithme de SHA-256.
  • Par défaut, Outlook signe avec SHA1 même si un certificat SHA2 est utilisé mais ce comportement peut être modifié si désiré.


** Code Signing:

  • Le code peut être signé avec un certificat SHA2 sur l’un des systèmes listés avec une compatibilité partielle ou complète sans problème.
  • Il y a une incompatibilité avec les pilotes Kernel signés SHA2 sur les plates-formes partiellement compatibles. Les pilotes Kernel signés avec les certificats SHA2 ne s’installeront pas sur les systèmes listés avec une compatibilité "partielle".


E-Mail Clients

L'algorithme de hachage de signature du certificat lui-même est indépendant du hachage de la signature dans un email. Par exemple, Outlook 2003 sur XP SP3 peuvent utiliser un certificat signé avec SHA-256 pour signer un email crypté. Cependant, la signature dans un e-mail sera limitée à SHA1.

  
Verifer SHA-1 un E-Mail Signé
 
Verifer SHA-256 un E-Mail Signé
 
Envoyer SHA-1 E-Mail Signé
 
Envoyer SHA-256 E-Mail Signé
 
Mozilla Thunderbird 1 - 4 [21]
 
Mozilla Thunderbird 5 - 37 [4] [21]
 
Mozilla Thunderbird 38+ [22]
 ? 
IBM Notes 8 [8]
 
IBM Notes 9 [8]
 
Microsoft Entourage 2004 [17]
 
Microsoft Entourage 2008 [17]
 
Microsoft Outlook 2003 & 2007 on XP SP3 [1] [2]
 
Microsoft Outlook 2007 on Windows Vista [1] [2]
 
Outlook for Mac 2011 [17]

 

Configurer l'algorithme de hachage Outlook à SHA-1

Outlook 2003:  Outils> Options> Paramétres > Sécurité> Paramétres  > Algorithme de hachage> SHA1

Outlook 2007, 2010, 2013: Fichier> Options> Gestion de la confidentialité> Paramétres du centre de gestion> Sécurité email> Paramétres > Algorithme de hachage> SHA1

Le Signature de document  

  
Placer la Signature SHA1 avec le certificate SHA-256
 
Placer la Signature SHA2 avec le certificate SHA-256
 
Valider la Signature SHA2
 
LibreOffice 4[7]
 
Microsoft Office 2003, 2007[7]
 
Microsoft Office 2010, 2013
 
Adobe Acrobat 8.0+
 
Adobe Reader 8.0+
See Note
See Note

  
Note: Adobe Reader 8+ peut remplacer des signatures avec un ID numérique si la fonctionnalité a été activée via Adobe Acrobat Professional.

Adobe Acrobat et Adobe Reader sont compatibles avec les certificats SHA-256 à partir de la version 8.0, cependant, ils placent toujours les signatures SHA1 par défaut. à partir de la version 9.1, Acrobat & Reader préférera SHA-256 pour le hachage de signature si disponible, sinon, il retombera en SHA1. Les signatures SHA-2 peuvent être préférées dans les versions antérieures à 9.1 par la modification du registre.

Les signatures numériques placées dans des versions récentes de Microsoft Office peuvent ne pas être compatibles avec les versions antérieures. La compatibilité d’héritage peut être manuellement spécifiée.

Office 2003 - 2010 fonctionne avec les certificats SHA-2, mais place les signatures SHA1. Office 2013 utilise SHA2 comme le hachage de signature par défaut lorsqu'il est disponible. Vous pouvez spécifier le hachage de signature dans Office 2010 et 2013 via l’enregistrement.
 

Windows Code Signing  

  
Executables
 
Kernel Drivers
 
VBA Macros:
Office 2003, 2007
 
VBA Macros:
Office 2010
 
VBA Macros:
Office 2013
 
Windows XP (SP1, SP2)
 
N/A
 
Windows XP SP3
 
N/A
 
Windows Vista [15]
 
N/A
 
Windows 7 [20]
 
Windows 8
 
Windows 10

 
Office 2010 sur Windows 7 nécessite le correctif kb 2598139 pour ajouter le support de SHA-256 pour les certificats de signature de code.

Windows 7 et Windows Server 2008 R2 nécessitent le kb 3033929 pour valider les pilotes de Kernel signés en SHA-2. Cette mise à jour n'est pas disponible pour XP, Vista, 2003 et 2008.

Pour avoir plus d’information sur l'algorithme de hachage et le support sur les certificats et les fichiers digérés dans Windows, Veuillez consulter l'article Windows Code Signing Hash Algorithm Support.

  
La Version minimum
 
Visual Studio Tools for Office (VSTO) [16]
 
10.0.50325

 

SafeNet iKey / la Compatibilité eToken

  
Works with SHA2 Certificate
 
Place SHA1 Signature
 
Place SHA2 Signature
 
iKey 4000 [5]
 
eToken 5100 [6]


L’ordinateur Central  

  La Version Minimum 
IBM z/OS [11]
 
v1r10

Le support Citrix

  La Version Minimum
Citrix Receiver Varies - See PDF

 

Sources

[1] SHA2 and Windows.
[2] Common questions about SHA2 and Windows.
[3] OpenSSL 0.9.8 Branch Release notes
[4] Bug 222179 - User preferences should control ciphers used when sending encrypted S/MIME messages
[5] iKey 4000 Specifications
[6] eToken 5100 Specifications
[7] Verified In-House
[8] IBM Notes SHA2 Support
[9] IBM Domino Planned SHA-2 Support
[10] IBM HTTP Server
[11] IBM z/OS
[12] GnuTLS
[13] .NET Security Blog
[14] Security Advisory 2949927 (SHA-2 Hash Support for Kernel Drivers - Currently Retracted)
[15] SHA-2 Signed Executables Windows Vista & Server 2008
[16] VSTO Runtime Update to Address “Unknown Publisher” for SHA256 Certificates
[17] Digital Certificate Requirements (Technet)
[18] Mozilla NSS 3.8 Release Notes
[19] Java 1.4.2 Release Notes
[20] Availability of SHA-2 Code Signing Support for Windows 7 and Windows Server 2008 R2
[21] Add recognition of SHA-2 hashes when verifying S/MIME messages
[22] Thunderbird 38 Release Notes
[23] MYSQL 5.5 Release Notes
[24] PostgreSQL 8.1 Release Notes
[25] PostgreSQL 8.2 Release Notes
[26] PM62842: Web Services Security Runtime Update to Support SHA-2 Signature Algorithms
[27] Oracle Weblogic - Configuring SSL
[28] Certificate Requirements for Federation Servers
[29] Release Notes for the Cisco ASA 5500
[30] App Transport Security Technote

 

Related Articles

Conversion des certificats – Open SSL (Test Article)

21 juin 2022, 09:05

This support article is a step-by-step guidelines in Converting a Certificate using OpenSSL.

Lire la suite

Conversion des Certificats - OpenSSL

21 juil. 2022, 04:33

Il y a différents formats de fichiers qui peuvent être utilisé pour garder les certificats et les clés privées avec leurs propres bénéfices.

Lire la suite

Supprimer CRL et le Cache OCSP

22 juil. 2022, 10:49

Par défaut, Windows cache les listes de révocation de certificats et les certificats de l'autorité de certification pour vérifier rapidement les chaînes de certificats.

Lire la suite

Système d’Alerte GlobalSign

Voir les alertes de système récentes.

Voir les Alertes

Atlas Discovery

Analysez vos terminaux pour localiser tous vos Certificats.

Inscrivez-vous

Configuration Test SSL

Vérifiez l’installation de votre certificat pour les problèmes et les vulnérabilités SSL.

Contactez l’équipe support

Contactez-nous
close
Ventes: +33 9 75 18 32 00
Assistance technique: +33 9 75 18 32 00
E-Mail: ventes@globalsign.com