Blog GlobalSign

08 mai 2018

Pensez à désactiver le TLS 1.0 (et toutes les versions de SSL) si ce n’est déjà fait

Comme nous l’avions déjà expliqué par le passé, SSL et TLS sont deux protocoles cryptographiques qui permettent d’authentifier et de chiffrer des données entre différents points de terminaison (ex. : lorsqu’un client se connecte à un serveur Web) — SSL étant le prédécesseur du TLS. Depuis la première itération de SSL en 1995, de nouvelles versions de ces protocoles ont vu le jour pour faire face aux vulnérabilités et prendre en charge les suites et algorithmes de chiffrement les plus forts et les plus sécurisés. Aujourd’hui la version TLS 1.3 vient d’être approuvée par l’IETF (Internet Engineering Task Force).

Nous vous recommandons de configurer vos serveurs de sorte à prendre en charge les dernières versions des protocoles. Cette bonne pratique vous garantit que seuls les algorithmes et les chiffrements les plus puissants seront utilisés. Mais pensez aussi à désactiver les anciennes versions ! Si vous continuez à supporter les anciennes versions des protocoles, vous risquez de subir des attaques par rétrogradation (downgrade attacks) ; ces attaques où les pirates forcent l’utilisation d’anciennes versions des protocoles (connues pour comporter des exploits) pour les connexions à votre serveur. Le risque ? Une vulnérabilisation de vos connexions chiffrées (entre un internaute et votre serveur web, entre des machines, etc.) qui sont alors exposées aux attaques par interception (man-in-the-middle) et à d’autres attaques.

Cela dit, il est officiellement temps de désactiver le TLS 1.0 si vous ne l’avez déjà fait (ainsi que le SSL 2.0 et 3.0... même si cela aurait vraiment dû être fait il y a longtemps).

Qu’est-ce qui motive ce changement ?

Ces dernières années, plusieurs vulnérabilités (comme BEAST, POODLEDROWN… on adore les acronymes, pas vous ?) ont poussé les experts sectoriels à prôner la désactivation de SSL et TLS 1.0 depuis quelque temps déjà. Aujourd’hui, cette initiative de changement est motivée par des questions de conformité PCI. À partir du 30 juin 2018, tous les sites Web devront au moins être en TLS 1.1 pour être conformes au standard PCI Data Security Standard (DSS).

Vérifiez si votre site prend bien en charge les protocoles SSL et TLS 1.0

Si vous n’êtes pas sûr à 100 % des protocoles pris en charge par votre site, utilisez notre outil gratuit pour tester votre serveur SSL. Sur la page de résultats, parcourez la section « Protocoles » et la liste de tous les protocoles pour savoir lesquels sont actuellement activés. L’exemple ci-dessous illustre bien ce qu’il ne faut pas faire : le site prend en effet toujours en charge le SSL 2.0, SSL 3.0 et le TLS 1.0, sans supporter le TLS 1.2.

Bad Results from SSL Server Test

Exemple de résultats générés par l’outil de test de serveur SSL de GlobalSign

Rendez-vous sur notre site d’assistance pour plus d’informations sur les versions de serveurs et de clients qui prennent en charge chaque protocole, ainsi que toutes les instructions pour désactiver les anciens protocoles.

Rappel : les certificats sont indépendants des protocoles

Vous êtes inquiet sur la manière dont vous allez devoir vous y prendre pour remplacer vos certificats avant la prochaine échéance PCI de juin ? Pas d’inquiétude : les certificats sont indépendants des protocoles. Les protocoles sont déterminés par votre configuration serveur, pas par les certificats. N’ayez crainte : vous n’aurez pas à vous débarrasser de votre stock de certificats !

En résumé...

  • Utilisez notre test de configuration serveur gratuit si vous n’êtes pas certain des protocoles actuellement pris en charge par votre site.
  • Vous devez désactiver la prise en charge des protocoles SSLv2, SSLv3 et TLS 1.0 désormais dépassés et vulnérables (pour également maintenir votre conformité PCI DSS).
  • Nous vous invitons à désactiver le TLS 1.1 si vous le pouvez à cause de ses vulnérabilités de sécurité connues.
  • Nous vous recommandons aussi d’activer le TLS 1.2 et 1.3.
  • Lisez notre article sur notre site d’assistance pour savoir comment modifier votre configuration serveur, et activer/désactiver les protocoles appropriés.

De notre côté, nous avons désactivé les protocoles SSL il y a longtemps déjà et suspendrons la prise en charge de TLS 1.0 et 1.1 pour nos propriétés web d’ici le 21 juin afin d’être en conformité avec la norme PCI DSS. Nous continuerons à prendre en charge le TLS 1.2, et travaillons actuellement à la prise en charge de la version 1.3 maintenant qu’elle est approuvée par l’IETF.

Partager ce blog