+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 915
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 915
    Points : 64 650
    Points
    64 650

    Par défaut OpenSSL abandonne le support des versions TLS 1.0/1.1 sur Debian Unstable

    OpenSSL abandonne le support des versions TLS 1.0/1.1 sur Debian Unstable,
    quelles implications pour les utilisateurs de Sid ?

    Dans la liste de diffusion de Debian, Kurt Roeckx a déclaré « Je viens d’uploader une version d'OpenSSL sur Unstable qui désactive le protocole TLS 1.0 et 1.1. Cela laisse actuellement TLS 1.2 en tant que seul protocole SSL/TLS pris en charge.

    « Cela risque certainement de casser certaines choses qui, pour quelque raison que ce soit, ne supportent toujours pas TLS 1.2. Si vous vous trouvez dans ce cas de figure, je suggère vivement d’ajouter un support pour cela.

    « OpenSSL a publié une version il y a cinq ans qui prenait en charge TLS 1.2. Le support actuel côté serveur semble être d'environ 90 % ».

    Rappelons que Debian « unstable » (connu aussi sous le nom de code Sid) n'est pas à proprement parler une version de Debian, mais plutôt une publication continue de la distribution renfermant les paquets les plus récents et les meilleurs qui viennent d'être introduits dans le système Debian.

    Quel est le problème avec TLS 1.0 ?

    Au fil des années, de nombreuses failles ont été exposées par des chercheurs sur cette version du protocole. Par exemple, en 2011, deux chercheurs ont mis au point un outil capable de le mettre à mal. L’outil BEAST (Browser Exploit Against SSL/TLS), dont une démonstration a été faite durant la conférence Ekoparty, a été présenté comme étant en mesure de casser un cookie PayPal chiffré en moins de dix minutes.

    Kaspersky avait alors expliqué que lorsqu'une victime visite un site sécurisé via TLS 1.0 et reçoit le cookie HTTPS, le code de BEAST est injecté dans son navigateur Web grâce par exemple à une publicité iframe malveillante. Un sniffer entre alors en jeu pour rechercher les connexions TLS actives et BEAST déchiffre les cookies.

    Qu’est-ce que cette annonce signifie pour les utilisateurs de Sid ?

    Tout d'abord, le support a été abandonné pour Debian Unstable, c'est-à-dire que cette modification prendra effet uniquement sur Debian Linux 10. Si vous exécutez Debian Unstable sur le serveur, des tonnes de choses vont être cassées cryptographiquement. Sans oublier le matériel et le firmware existants qui utilisent toujours TLS 1.0. Du côté client , vous devez utiliser la dernière version d'un navigateur tel que Chrome/Chromium et Firefox. Les anciennes versions d'Android (par exemple Android 5.x et les versions antérieures) ne prennent pas en charge TLS 1.2. Vous devez utiliser au moins iOS 5 pour le support TLS 1.2. Il en va de même pour les serveurs SMTP/mail, les clients de messagerie de bureau, les clients FTP et plus encore.

    Comment savoir quelle version du protocole TLS mon navigateur supporte ?

    Vous pouvez par exemple passer par un plug-in comme CipherFox (qui va afficher la chaîne cipher, protocole et certificat SSL/TLS en cours dans la boîte de dialogue) ou SSleuth (qui classe une connexion SSL/TLS établie et donne un bref résumé de la suite de chiffrement, du certificat et d'autres paramètres SSL/TLS). Vous pourrez également utiliser les outils développeurs de Google Chrome pour avoir ces informations.

    Source : liste de diffusion

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau membre du Club
    Homme Profil pro
    Webmaster
    Inscrit en
    novembre 2014
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Webmaster

    Informations forums :
    Inscription : novembre 2014
    Messages : 23
    Points : 32
    Points
    32

    Par défaut Le problème va se poser pour les bots ! :-)

    Aujourd'hui, tous les navigateurs utilisent TLS 1.2, hormis certains appareils mobiles, il est vrai. Il y a de l'update de l'air. De toute façon, il faudra y venir et abandonner les chiffrages meilleurs marchés.
    Mais le plus gros souci va se poser pour la plus grosse plaie du net, les bots et bad bots. Et c'est tant mieux ! On sera tranquilles 5 minutes au moins.

    Le seul chiffrage dont la disparition passera totalement inaperçue et le TLS 1.1
    C'est soit TLS 1.0 ou TLS 1.2, mais TLS 1.1 n'est jamais utilisé. Sur mon site, ce protocole est écarté et je n'ai jamais eu le moindre souci.

Discussions similaires

  1. Chrome : le support des plugins à l'architecture NPAPI abandonné d'ici 2014
    Par Stéphane le calme dans le forum Google Chrome
    Réponses: 1
    Dernier message: 24/09/2013, 18h06
  2. Ubuntu : le support des versions non LTS réduit de moitié
    Par Stéphane le calme dans le forum Ubuntu
    Réponses: 12
    Dernier message: 22/03/2013, 15h12
  3. Réponses: 3
    Dernier message: 05/10/2011, 19h15
  4. Réponses: 0
    Dernier message: 04/10/2011, 15h45
  5. Liste des ciphers TLS/SSL supportés par une JVM ?
    Par flatplane55 dans le forum Général Java
    Réponses: 0
    Dernier message: 24/03/2010, 16h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo