Chrome, Firefox, Edge et Safari prévoient de désactiver TLS 1.0 et 1.1 en 2020

Tous les principaux navigateurs Web, y compris Google Chrome, Apple Safari, Microsoft Edge, Internet Explorer et Mozilla Firefox.

Ont annoncé aujourd’hui la suppression prochaine de la prise en charge des communications TLS 1.0 (20 ans) et TLS 1.1 (12 ans). protocoles de cryptage.

Développé initialement en tant que protocole SSL (Secure Sockets Layer), TLS (Transport Layer Security) est un protocole cryptographique mis à jour utilisé pour établir un canal de communication sécurisé et crypté entre les clients et les serveurs.

Il existe actuellement quatre versions du protocole TLS - TLS 1.0, 1.1, 1.2 et 1.3 (les dernières ) - mais les versions antérieures, TLS 1.0 et 1.1, sont connues pour être vulnérables à un certain nombre d’attaques critiques, telles que POODLE et BEAST.

Étant donné que la mise en œuvre de TLS dans tous les principaux navigateurs et applications Web prend en charge le processus de négociation de rétrogradation, les pirates informatiques ont ainsi la possibilité d’exploiter les protocoles les plus faibles, même si un serveur prend en charge la dernière version.

Tous les principaux navigateurs Web supprimeront la prise en charge de TLS 1.0 et TLS 1.1 en 2020

Selon les communiqués de presse publiés par quatre grandes entreprises, Google , Microsoft , Apple et Mozilla , leurs navigateurs Web abandonneront complètement TLS 1.0 et 1.1support par défaut au premier semestre 2020.

TLS 1.2, publié il y a dix ans, Les faiblesses de TLS 1.0 et 1.1 ont depuis été largement adoptées et seront donc la version par défaut de TLS, à moins que TLS 1.3 ne soit disponible, actuellement en cours de développement.

Selon Microsoft, alors que TLS 1.0 continue de vieillir, de nombreux sites Web ont déjà migré vers des versions plus récentes du protocole. Aujourd’hui, 94% des sites prennent déjà en charge TLS 1.2, tandis que moins de 1% des connexions quotidiennes dans Microsoft Edge utilisent TLS 1.0 ou 1.1.

"Deux décennies, c’est long pour une technologie de sécurité non modifiée. Même si nous ne sommes pas conscients de vulnérabilités significatives liées à nos mises à jour récentes de TLS 1.0 et TLS 1.1, il existe des implémentations tierces vulnérables", écrit Microsoft. .

"Le passage à de nouvelles versions contribue à sécuriser le Web pour tout le monde. De plus, nous nous attendons à ce que l’IETF déprécie formellement les versions 1.0 et 1.1 de TLS plus tard cette année. À ce stade, les vulnérabilités de protocole de ces versions ne seront plus résolues."

Apple indique également que TLS 1.2 est la norme sur ses plates-formes et représente 99,6% des connexions TLS établies à partir de Safari, tandis que TLS 1.0 et 1.1 représentent moins de 0,36% de toutes les connexions.

Google est tout à fait d’accord et dit qu’aujourd’hui, seuls 0,5% des connexions HTTPS établies par Chrome utilisent TLS 1.0 ou 1.1.

Toutes les sociétés de technologie ont recommandé aux sites Web qui ne prennent pas en charge TLS 1.2 ou plus récent de s’éloigner des anciennes versions du protocole dès que possible et de manière pratique.

En outre, la conformité à la norme PCI DSS (PCI Data Security Standard ) impose également aux sites Web de désactiver la mise en œuvre de SSL / TLS 1.0 avant le 30 juin 2018.

Outre ces géants de la technologie, Gitlab a également annoncé aujourd’hui la suppression du support pour TLS 1.0 et TLS 1.1 sur son site Web. Infrastructure API d’ici fin 2018.

Vous pouvez également désactiver manuellement les anciennes versions de TLS sur Google Chrome en ouvrant Paramètres → Paramètres avancés → Ouvrir les paramètres du proxy → Cliquez sur l’onglet "Avancé" → sous "Sécurité", décochez TLS 1.0 et 1.1, puis enregistrez.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image