Quels sont les risques liés au protocoles obsolètes ?
Comme tout ce qui est lié à l'informatique, les protocoles vieillissant posent de nombreux problèmes en terme de sécurité. Les protocoles sont donc régulièrement mis à jour puis remplacés pour contrer les avancées des hackers en quête de données.
TLS 1.2 est maintenant obligatoire depuis Mars 2020
A partir de Mars 2020, les serveurs Web devront servir leur contenu en utilisant a minima le protocole TLS1.2. Vous trouverez plus d'informations sur ce lien : TLS1.2 obligatoire depuis Mars 2020
SSLv2 et SSLv3
SSLv2 a été créé par Netscape en 1995 et SSLv3 par la même firme en 1996. Dès sa création, SSLv2 a montré des faiblesses et a donc rapidement été remplacé par SSLv3. TLS est aujourd'hui, et depuis de nombreuses années, la norme.
Ces protocoles, encore trop souvent utilisés, sont vulnérables aux attaques Man In The Middle (MITM) rendant possible l'interception, la modification et l'interprétation de données par une tierce partie.
Nous recommandons donc la désactivation de ce type de protocoles (voir liens ci-dessous). Une fois fait, vérifiez vos sites avec CopiBot.
Alerte sur Chrome
Depuis la version 39 de Chrome, un triangle jaune apparait sur le cadenas quand le navigateur
repère l'utilisation d'un protocole obsolète comme SSLv3 ou SSLv2.
Solution : voir liens ci-dessous pour désactiver les protocoles obsolètes sur vos serveurs
Depuis la version 41 de Chrome, un triangle jaune apparait sur le cadenas quand le certificat délivré par le serveur
est toujours signé avec l'algorithme de hashage en SHA1 et expire après le 1/1/2017.
En savoir plus sur SHA1 : Dépréciation prévue en 2017
Solution : Effectuer une re-fabrication du certificat en SHA256 ou un renouvellement du certificat.
2016-03-02 - Faille DROWN
Une nouvelle attaque récemment publiée exploite le support SSLv2 des serveurs. Cela concerne tous les protocoles basés sur SSL/TLS. Les serveurs utilisant Openssl inférieur à 1.0.1f et à 1.0.2g sont particulièrement vulnérables. Nous vous recommandons vivement de desactiver SSLv2.
TLS 1.0 et TLS 1.1
Les protocoles TLS 1.0 et TLS 1.1 ont été remplacés par TLS 1.2 en 2008, c'est ce dernier qui est recommandé depuis lors.
Aujourd'hui, ces 2 protocoles doivent disparaître pour des raisons de sécurité et plusieurs navigateurs ont déjà annoncé leur dépréciation pour mars 2020.
Ce qui leur est reproché (entre autres) :
- ils nécessitent l'implémentation d'algorithmes de chiffrement vieillissants
- le manque de support pour les algorithmes de chiffrement recommandés
- l'intégrité du handshake (poignée de main) repose sur un hach SHA1
- authentification des ports repose sur des signatures SHA1
Tout cela les rend vulnérables aux attaques Man In The Middle (MITM) rendant possible l'interception, la modification et l'interprétation de données par une tierce partie.
Liens utiles
- DROWN - Faille de sécurité exploitant le protocole SSLv2
- Poodle : une faille de sécurité touchant le protocole SSLv3
- Désactivation de SSLv3 sur Paypal
- Desactiver SSLv2 et SSLv3 sous IIS
- Desactiver SSLv2 et SSLv3 sous IIS8.5
- Desactiver SSLv2 et SSLv3 sous Apache
- Desactiver SSLv2 et SSLv3 sur Tomcat
- Installer un certificat pour Nginx
- Testez vos sites avec CopiBot
- TLS 1.2 deviendra obligatoire à partir de Mars 2020
- Activer TLS1.2 sur IIS 7.5
- Comment désactiver SSLv3 (en anglais)
Sur les navigateurs : Chrome et Chromium, Windows, Linux / Unix, Mac OS X, Mozilla Firefox, Safari, Internet Explorer, Opera
Sur les serveurs web : Apache, IIS, Nginx, Lighttpd,
Sur les serveurs de messagerie : Sendmail, Postfix, Dovecot, Courier-imap,
Autre : Java, NodeJS, Puppet, HAProxy ... - Document PDF ANSSI : SSL/TLS état des lieux et recommandations