Actualités: SSL - Firefox 78 et la fin du support TLS inférieur à 1.2

Publié : 23/07/2020

 



File:Firefox Horizontal Logo, 2017.svg - Wikimedia Commons


 


Depuis la version 78 du navigateur Mozilla Firefox, publiée le 30 juin 2020, le support des protocoles TLS en version inférieur à 1.2 est désactivé par défaut. Si votre site est hébergé sur un serveur ancien, il est possible que vos visiteurs reçoivent des aujourd'hui un message d'erreur relatif a la sécurité du site (Exemple ci dessous). Il est donc nécessaire pour les éditeurs de sites de verifier si leur serveur d'hébergement et leur application supporte bien TLS 1.2 ou supérieur. Si ce n'est pas le cas, alors il faut envisager la migration vers un serveur plus recent des aujourd'hui.


Si vous souhaitez vérifier votre site ou organiser la migration de votre application sur un serveur recent, Datacampus peut vous aider, contactez l'équipe commerciale


Voici la communication officielle de Mozilla à ce sujet, traduite depuis l'anglais. (Article original en bas de page)


Mise à jour de l’éditeur: 24 juin à 11 h 40 (heure du Pacifique) - Nous allons continuer de désactiver TLS 1.0 et TLS 1.1 par défaut dans Firefox 78, qui sortira le 30 juin. Si vous voyez un message «Échec de la connexion sécurisée» comme indiqué dans l'article ci-dessous, cliquez sur le bouton pour réactiver TLS 1.0 et TLS 1.1. Vous ne devriez avoir besoin d'appuyer qu'une seule fois sur ce bouton, le changement sera global.


Mise à jour antérieure: 23 mars, 10h43 PDT - Nous avons réactivé TLS 1.0 et 1.1 dans Firefox 74 et 75 Beta pour mieux permettre l'accès aux sites partageant des informations critiques et importantes pendant cette période.


Le protocole TLS (Transport Layer Security) est le moyen de facto d'établir la sécurité sur le Web. Le protocole a une histoire longue et colorée, à commencer par sa création sous le nom de protocole SSL (Secure Sockets Layer) au début des années 1990, jusqu'à la sortie récente du plus jazzier (lire plus vite et plus sûr) TLS 1.3. Le besoin d'une nouvelle version du protocole est né d'une volonté d'améliorer l'efficacité et de remédier aux failles et faiblesses présentes dans les versions antérieures, en particulier dans TLS 1.0 et TLS 1.1. Voir les attaques BEAST, CRIME et POODLE, par exemple.


Avec une prise en charge limitée des primitives cryptographiques et des suites de chiffrement plus récentes et plus robustes, cela ne semble pas bon pour l'avenir de TLS 1.0 et TLS 1.1. Avec les TLS 1.2 et TLS 1.3 plus sûrs à notre disposition pour projeter correctement le trafic Web, il est temps de faire entrer l'écosystème TLS dans une nouvelle ère, à savoir celle qui ne prend pas en charge les versions faibles de TLS par défaut. Cela a été le sentiment constant des fournisseurs de navigateurs - Mozilla, Google, Apple et Microsoft se sont engagés à désactiver TLS 1.0 et TLS 1.1 comme options par défaut pour les connexions sécurisées. En d'autres termes, les clients du navigateur viseront à établir une connexion à l'aide de TLS 1.2 ou supérieur. Pour en savoir plus sur la justification de cette décision, consultez notre article de blog précédent sur le sujet.


À quoi cela ressemble-t-il dans Firefox?


Nous l'avons déployé dans Firefox Nightly, la version expérimentale de notre navigateur, vers la fin de 2019. Il est désormais également disponible dans Firefox Beta 73. Dans Firefox, cela signifie que la version TLS minimale autorisée par défaut est TLS 1.2. Cela a été exécuté dans le code en définissant security.tls.version.min = 3, une préférence indiquant la version TLS minimale prise en charge. Auparavant, cette valeur était définie sur 1. Si vous vous connectez à des sites prenant en charge TLS 1.2 et version ultérieure, vous ne devriez pas remarquer d'erreurs de connexion causées par des incohérences de version de TLS.


Que faire si un site ne prend en charge que les versions inférieures de TLS?


Dans les cas où seules les versions inférieures de TLS sont prises en charge, c'est-à-dire lorsque les versions plus sécurisées de TLS 1.2 et TLS 1.3 ne peuvent pas être négociées, nous autorisons un retour vers TLS 1.0 ou TLS 1.1 via un bouton de remplacement. En tant qu'utilisateur de Firefox, si vous vous trouvez dans cette position, vous verrez ceci:


screenshot showing


capture d'écran montrant le message «Échec de la connexion sécurisée» qui permet à l'utilisateur de remplacer l'abandon de TLS 1.0 et 1.1


En tant qu'utilisateur, vous devrez lancer activement ce remplacement. Mais le bouton de dérogation vous offre un choix. Vous pouvez bien entendu choisir de ne pas vous connecter à des sites qui ne vous offrent pas la meilleure sécurité possible.


Ce n'est pas idéal pour les exploitants de sites Web. Nous souhaitons encourager les opérateurs à mettre à niveau leurs serveurs afin d'offrir aux utilisateurs une expérience sécurisée sur le Web. Nous avons annoncé nos plans concernant la dépréciation de TLS 1.0 et TLS 1.1 il y a plus d'un an, en octobre 2018, et le moment est maintenant venu de faire ce changement. Travaillons ensemble pour faire avancer l'écosystème TLS.


Chronologie des abandons


Nous prévoyons de surveiller la télémétrie sur deux cycles de Firefox Beta, puis nous allons laisser ce changement se propager à la version Firefox. Attendez-vous donc à ce que Firefox 74 propose TLS 1.2 comme version minimale pour les connexions sécurisées lors de sa livraison le 10 mars 2020. Nous prévoyons de conserver le bouton de remplacement pour le moment; la télémétrie que nous collectons nous en dira plus sur la fréquence à laquelle ce bouton est utilisé. Ces résultats informeront ensuite notre décision concernant le moment de supprimer complètement le bouton. Il est peu probable que le bouton reste longtemps. Nous nous engageons à éliminer complètement les versions faibles de TLS car chez Mozilla, nous pensons que la sécurité des utilisateurs ne doit pas être considérée comme facultative.


Encore une fois, nous tenons à souligner l'importance de la mise à niveau des serveurs Web au cours des prochains mois, alors que nous faisons nos adieux à TLS 1.0 et TLS 1.1. R.I.P, vous nous avez bien servis.


 


Article orginal : https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/