Bonjour,
Pour ceux qui se font leur propre PKI avec une archietcture de type:
- CA : Autorité de certification de la chaîne
- Sub CA: Sous autorité ou autorité racine délégué
- Certificat
- Sub CA: Sous autorité ou autorité racine délégué
Le CA signe le Sub CA.
Le Sub CA signe le certificat.
Pourquoi un Sub CA?
Parce que cela permet de ne pas avoir à exposer le CA. Et en cas de soucis, on peut révoquer le Sub CA sans avoir à révoquer son CA.
Cependant, et c’est l’objet de ce post, il est impératif d’avoir une homogénéité d’algorithme de chiffrement tout au long de la chaîne si on ne veut pas se retrouver avec un refus de navigateur.
Les algorithmes de signature
Les algorithmes de signature fiable actuel sont le SHA2 (SHA-224, SHA-256, SHA-384 et SHA-512) et le SHA3(224, 256, 384 et 512 bits).
SHA3 est basé sur un principe différent de SHA2. C’est important car SHA2 est suspecté d’avoir des problèmes de fiabilité du fait d’être basé sur le même principe que MD5 et SHA1 qui sont aujourd’hui reconnus comme non fiables.
Conséquence
Si vous créez un CA avec SHA256, alors le SubCA et le certificat devront être en SHA256.
Si votre SubCA est en SHA256 et que vous créé un certificat SHA3-512, c’est possible. Mais Firefox refusera de valider le certificat sans exception parce que la chaine n’a pas un algorithme de signature constant.
A cause de cela, je me retrouve à refaire toute ma chaîne de certification (soit environ 23 certificats, 4 Sub CA et le CA bien évidement… 
) car les navigateurs ont durcit leurs règles de validation des certificats.
C’est le cas avec Firefox en tout cas.