

Rappelons que TLS (Transport Layer Security) est un protocole de sécurisation des échanges sur Internet. Il fonctionne suivant un mode client-serveur et permet de satisfaire à un certain nombre d'objectifs de sécurité. Parmi ceux-ci, on note l'authentification du serveur, la confidentialité des données échangées (ou session chiffrée) et l'intégrité des données échangées. De manière optionnelle, il permet aussi l'authentification du client, même si dans la réalité celle-ci est souvent assurée par le serveur. TLS est donc une norme Internet utilisée pour empêcher l'espionnage et la falsification de messages pour diverses applications Internet et c'est probablement le standard de sécurité réseau le plus largement déployé au monde.
Mais TLS 1.0 aura 20 ans en janvier prochain, et « dans le monde de l'Internet, 20 ans c'est comme une éternité », estime Martin Thomson de Mozilla dans un billet de blog. « Bien que nous ne soyons pas au courant de problèmes spécifiques liés à TLS 1.0 nécessitant une action immédiate, plusieurs aspects de la conception ne sont ni aussi puissants, ni aussi robustes que nous le souhaiterions compte tenu de la nature d'Internet aujourd'hui. Plus important encore, TLS 1.0 ne prend pas en charge les algorithmes cryptographiques modernes », dit-il. Il rappelle aussi que l'IETF ne recommande pas l'utilisation des anciennes versions de TLS, ce pour quoi Mozilla va également supprimer le support de TLS 1.1 dans son navigateur.
Microsoft (Edge et Internet Explorer 11), Google (Chrome) et Apple (Safari) ont pris des décisions similaires pour les mêmes raisons : passer à des versions modernes et plus sures du protocole TLS. Ils prévoient tous de désactiver TLS 1.0 et 1.1 au premier semestre 2020.
TLS 1.2 est actuellement la version la plus utilisée du protocole, dans l'ordre de 90 %. Mais la nouvelle version du protocole est déjà assez déployée. Firefox et Chrome ont par exemple déjà implémenté un draft de la spécification de TLS 1.3. Et à l'heure actuelle, Cloudflare, Google et Facebook exécutent TLS 1.3 sur leurs serveurs. Les données de télémétrie de Mozilla montrent qu'en 5 % des connexions avec Firefox sont en TLS 1.3. Cloudflare communique des chiffres similaires et Facebook rapportait début août que plus de 50 % de son trafic est déjà en TLS 1.3.
Sources : Mozilla, Google, Microsoft, Blog WebKit
Et vous ?

Voir aussi :




