L’IETF (Internet Engineering Task Force) a récemment publié une RFC (Request for Comments — Demande de Commentaires) dépréciant l’utilisation de TLS 1.0 et TLS 1.1 nommée « Deprecating TLS 1.0 and TLS 1.1 ».
Qui est l’IETF ?
L’IETF est un organisme sans but lucratif qui publie des standards gouvernant tout ce qui touche à Internet, des protocoles bas niveau (tel que TCP/IP) ou des comportements de haut niveau (Comportement des urls par exemple).
Les personnes composant cette structure sont des experts techniques travaillant bénévolement pour faire d’Internet un système plus fiable et mieux structuré.
Qu’est-ce qu’une RFC
Les RFC sont des documents rédigés publiquement dans le but de décrire un comportement que devraient suivre les acteurs concernés.
Une RFC décrit un point technique d’un composant que nous pouvons utiliser tous les jours dans monde numérique.
Les premières RFC ont décrit le fonctionnement d’ARPANET et de son protocole de communication NCP, les débuts d’Internet actuel.
Ces RFC sont des recommandations que chacun est libre de suivre, ou non. Néanmoins, ces documents font preuve de référence sur de nombreux points, et sont généralement acceptées comme source de vérité, et implémentés dans nos outils de tous les jours.
Qu’est-ce que ça veut dire pour moi ?
Nous allons tous les jours sur des sites internet. Depuis quelques années, la normes est d’utiliser du HTTPS (le S étant pour Sécurisé) pour que les données n’apparaissent pas en clair durant le transit.
Accès à un site web en HTTPS
Plusieurs protocoles de sécurisation peuvent être utilisés. Il y a eu, entre autre, le protocole SSL en version 3 (SSLv3) qui a été banni en 2014 suite à de nombreuses failles de sécurité. La norme était donc d’utiliser TLS 1.0 puis 1.1 .
Depuis sont sortis TLS version 1.2 puis 1.3 permettant une meilleure sécurité de nos échanges.
Les protocoles TLS 1.0 et 1.1 ne sont maintenant plus aux normes, et plusieurs acteurs d’Internet demandent leur mise au placard, les nouveaux protocoles étant maintenant généralement disponible.
Une RFC a donc été publiée demandant la suppression du support de TLS 1.0 et 1.1 au profit de 1.2 et 1.3 dans les navigateurs et les serveurs web.
Cependant, le support de ces nouvelles versions est rarement porté dans les anciennes applications.
Si un serveur est trop vieux, il n’aura jamais de mise à jour pouvant supporter ces nouvelles fonctionnalités. Un changement du serveur peut être nécessaire afin de bénéficier des nouvelles fonctionnalités et corrections majeures de sécurité.
Et si je ne fais rien ?
À terme, le site ne sera plus du tout accessible, ni par les clients, ni par les moteurs de recherche. Tout le référencement sera perdu.
Au fur et à mesure des mises à jour des navigateurs, les sites ayant des versions trop anciennes de TLS ne seront plus supportées.
Un message d’erreur d’accès au site web sera affiché.
Message d’erreur de firefox – version de SSL/TLS non supportée
Comment vérifier ?
Des outils en ligne tel que le test de Qualys ou des outils en ligne de commande comme testssl.sh permettent de vérifier le support des versions de TLS pour un site web donné.
Test qualys montrant tls1.0 et 1.1 activés
Si le serveur web est incapable de faire du TLS 1.2 (minumum), il est possible qu’il devienne inaccessible dans les prochains jours, et impacter grandement le trafic.
Outil en ligne de commande testssl.sh
Voici un tableau de compatibilité des versions de Debian avec le support des versions de TLS.
| Debian 5 | Debian 6 | Debian 7 | Debian 8 | Debian 9 | Debian 10 | |
|---|---|---|---|---|---|---|
| SSLv3 (Ne doit plus être utilisé) | OUI 🙁 | OUI 🙁 | OUI 🙁 | NON | NON | NON |
| TLS1.0 (va être désactivé) | OUI 🙁 | OUI 🙁 | OUI 🙁 | OUI 🙁 | OUI 🙁 | NON |
| TLS1.1 (va être désactivé) | NON 🙁 | NON 🙁 | OUI 🙁 | OUI 🙁 | OUI 🙁 | NON |
| TLS1.2 | NON | NON | OUI | OUI | OUI | OUI |
| TLS1.3 | NON | NON | NON | NON | NON | OUI |
Le Groupe OT recommande donc le renouvellement des serveurs anciens afin de garantir l’accès aux différents services.
Sources:
- Site de l’IETF (en anglais)
- La RFC 8996 dépréciant TLS 1.0 et TLS 1.1 (en anglais)
- Page wikipedia de l’IETF (en français)
- Page wikipedia des RFC (en français)
- Page wikipedia de TLS (en français)
- Outil de diagnostic de SSL/TLS en ligne de commande testssl.sh (en anglais)
- Outil de diagnostic de SSL/TLS en ligne Qualys SSLTest (en français)
- Bortzmeyer parle de la dépréciation de TLS 1.0 et TLS 1.1 (en français)
