Les fichiers JAR signés avec les algorithmes SHA-1 sont maintenant restreints

Les fichiers JAR signés avec les algorithmes SHA-1 sont désormais limités par défaut et traités comme s'ils n'étaient pas signés en Java SE 17. Cela s'applique aux algorithmes utilisés pour prétraiter, signer et éventuellement horodater le fichier JAR. Cela s'applique également aux algorithmes de signature et de prétraitement des certificats de la chaîne de certificats du signataire de code et de l'autorité d'horodatage, ainsi qu'à toutes les réponses CRL ou OCSP utilisées pour vérifier si ces certificats ont été révoqués.

Afin de réduire le risque de compatibilité pour les applications qui ont déjà été horodatées ou qui utilisent des certificats d'authentification privés, cette règle comporte deux exceptions :

• Tout fichier JAR signé avec des algorithmes SHA-1 et horodaté avant le 1er janvier 2019 ne sera pas restreint.
• Tout fichier JAR signé avec un certificat SHA-1 qui ne renvoie pas à une autorité de certification racine incluse par défaut dans le fichier de clés cacerts JDK ne sera pas restreint.

Ces exceptions pourront être supprimées dans une version future de JDK.

SHA-1 n'est plus considéré comme étant sécurisé et ne doit pas être utilisé. Les utilisateurs peuvent, à leur propre risque, supprimer ces restrictions en modifiant le fichier de configuration java.security (ou en le remplaçant à l'aide de la propriété système java.security.properties) et en supprimant SHA1 jdkCA & usage SignedJAR & denyAfter 2019-01-01 de la propriété de sécurité jdk.certpath.disabledAlgorithms et SHA1 jdkCA & denyAfter 2019-01-01 de la propriété de sécurité jdk.jar.disabledAlgorithms.

Pour plus d'informations sur cette restriction, voir Désactiver les fichiers JAR signés SHA-1.