Discussion :

[Stéphane le calme]

OpenSSL abandonne le support des versions TLS 1.0/1.1 sur Debian Unstable,
quelles implications pour les utilisateurs de Sid ?

Dans la liste de diffusion de Debian, Kurt Roeckx a déclaré « Je viens d’uploader une version d'OpenSSL sur Unstable qui désactive le protocole TLS 1.0 et 1.1. Cela laisse actuellement TLS 1.2 en tant que seul protocole SSL/TLS pris en charge.

« Cela risque certainement de casser certaines choses qui, pour quelque raison que ce soit, ne supportent toujours pas TLS 1.2. Si vous vous trouvez dans ce cas de figure, je suggère vivement d’ajouter un support pour cela.

« OpenSSL a publié une version il y a cinq ans qui prenait en charge TLS 1.2. Le support actuel côté serveur semble être d'environ 90 % ».

Rappelons que Debian « unstable » (connu aussi sous le nom de code Sid) n'est pas à proprement parler une version de Debian, mais plutôt une publication continue de la distribution renfermant les paquets les plus récents et les meilleurs qui viennent d'être introduits dans le système Debian.

Quel est le problème avec TLS 1.0 ?

Au fil des années, de nombreuses failles ont été exposées par des chercheurs sur cette version du protocole. Par exemple, en 2011, deux chercheurs ont mis au point un outil capable de le mettre à mal. L’outil BEAST (Browser Exploit Against SSL/TLS), dont une démonstration a été faite durant la conférence Ekoparty, a été présenté comme étant en mesure de casser un cookie PayPal chiffré en moins de dix minutes.

Kaspersky avait alors expliqué que lorsqu'une victime visite un site sécurisé via TLS 1.0 et reçoit le cookie HTTPS, le code de BEAST est injecté dans son navigateur Web grâce par exemple à une publicité iframe malveillante. Un sniffer entre alors en jeu pour rechercher les connexions TLS actives et BEAST déchiffre les cookies.

Qu’est-ce que cette annonce signifie pour les utilisateurs de Sid ?

Tout d'abord, le support a été abandonné pour Debian Unstable, c'est-à-dire que cette modification prendra effet uniquement sur Debian Linux 10. Si vous exécutez Debian Unstable sur le serveur, des tonnes de choses vont être cassées cryptographiquement. Sans oublier le matériel et le firmware existants qui utilisent toujours TLS 1.0. Du côté client , vous devez utiliser la dernière version d'un navigateur tel que Chrome/Chromium et Firefox. Les anciennes versions d'Android (par exemple Android 5.x et les versions antérieures) ne prennent pas en charge TLS 1.2. Vous devez utiliser au moins iOS 5 pour le support TLS 1.2. Il en va de même pour les serveurs SMTP/mail, les clients de messagerie de bureau, les clients FTP et plus encore.

Comment savoir quelle version du protocole TLS mon navigateur supporte ?

Vous pouvez par exemple passer par un plug-in comme CipherFox (qui va afficher la chaîne cipher, protocole et certificat SSL/TLS en cours dans la boîte de dialogue) ou SSleuth (qui classe une connexion SSL/TLS établie et donne un bref résumé de la suite de chiffrement, du certificat et d'autres paramètres SSL/TLS). Vous pourrez également utiliser les outils développeurs de Google Chrome pour avoir ces informations.

Source : liste de diffusion

Et vous ?

Qu'en pensez-vous ?

[alexetgus]

Aujourd'hui, tous les navigateurs utilisent TLS 1.2, hormis certains appareils mobiles, il est vrai. Il y a de l'update de l'air. De toute façon, il faudra y venir et abandonner les chiffrages meilleurs marchés.
Mais le plus gros souci va se poser pour la plus grosse plaie du net, les bots et bad bots. Et c'est tant mieux ! On sera tranquilles 5 minutes au moins.

Le seul chiffrage dont la disparition passera totalement inaperçue et le TLS 1.1
C'est soit TLS 1.0 ou TLS 1.2, mais TLS 1.1 n'est jamais utilisé. Sur mon site, ce protocole est écarté et je n'ai jamais eu le moindre souci.