Cela fait déjà deux mois que la version 1.3 du protocole TLS a été officiellement publiée après son approbation en mars dernier par l'organisme d'élaboration des standards Internet IETF (Internet Engineering Task Force). Alors, c'est le temps pour abandonner les versions plus anciennes. C'est en tout cas le message que viennent de lancer les principaux navigateurs Web en annonçant simultanément leur intention de mettre fin au support de TLS 1.0 et 1.1.
Rappelons que TLS (Transport Layer Security) est un protocole de sécurisation des échanges sur Internet. Il fonctionne suivant un mode client-serveur et permet de satisfaire à un certain nombre d'objectifs de sécurité. Parmi ceux-ci, on note l'authentification du serveur, la confidentialité des données échangées (ou session chiffrée) et l'intégrité des données échangées. De manière optionnelle, il permet aussi l'authentification du client, même si dans la réalité celle-ci est souvent assurée par le serveur. TLS est donc une norme Internet utilisée pour empêcher l'espionnage et la falsification de messages pour diverses applications Internet et c'est probablement le standard de sécurité réseau le plus largement déployé au monde.
Mais TLS 1.0 aura 20 ans en janvier prochain, et « dans le monde de l'Internet, 20 ans c'est comme une éternité », estime Martin Thomson de Mozilla dans un billet de blog. « Bien que nous ne soyons pas au courant de problèmes spécifiques liés à TLS 1.0 nécessitant une action immédiate, plusieurs aspects de la conception ne sont ni aussi puissants, ni aussi robustes que nous le souhaiterions compte tenu de la nature d'Internet aujourd'hui. Plus important encore, TLS 1.0 ne prend pas en charge les algorithmes cryptographiques modernes », dit-il. Il rappelle aussi que l'IETF ne recommande pas l'utilisation des anciennes versions de TLS, ce pour quoi Mozilla va également supprimer le support de TLS 1.1 dans son navigateur.
Microsoft (Edge et Internet Explorer 11), Google (Chrome) et Apple (Safari) ont pris des décisions similaires pour les mêmes raisons : passer à des versions modernes et plus sures du protocole TLS. Ils prévoient tous de désactiver TLS 1.0 et 1.1 au premier semestre 2020.
TLS 1.2 est actuellement la version la plus utilisée du protocole, dans l'ordre de 90 %. Mais la nouvelle version du protocole est déjà assez déployée. Firefox et Chrome ont par exemple déjà implémenté un draft de la spécification de TLS 1.3. Et à l'heure actuelle, Cloudflare, Google et Facebook exécutent TLS 1.3 sur leurs serveurs. Les données de télémétrie de Mozilla montrent qu'en 5 % des connexions avec Firefox sont en TLS 1.3. Cloudflare communique des chiffres similaires et Facebook rapportait début août que plus de 50 % de son trafic est déjà en TLS 1.3.
Sources : Mozilla, Google, Microsoft, Blog WebKit
Et vous ?
Qu'en pensez-vous ?Voir aussi :
L'IETF publie officiellement la version 1.3 du protocole TLS, qui promet une sécurité plus robuste et de meilleures performances Facebook rend disponible en open source sa bibliothèque TLS Fizz, pour faciliter le déploiement de TLS 1.3 sur Internet Android : Google implémente le support du DNS sur TLS, pour empêcher l'écoute et la falsification des requêtes DNS sur un réseau OpenSSL abandonne le support des versions TLS 1.0/1.1 sur Debian Unstable, quelles implications pour les utilisateurs de Sid ? Navigateurs IE11 et Edge : Microsoft bannit finalement les certificats TLS signés en SHA-1, dans le cadre de son programme de certification