Fin annoncée de TLS 1.0 et TLS 1.1

Lundi 15 octobre 2018, Apple, Google, Microsoft et Mozilla, principaux éditeurs de navigateurs web ont annoncé la fin du support par défaut de TLS 1.0 et 1.1 pour 2020.

SSL/TLS est le (sont les) protocole de chiffrement sans doute le plus utilisé au monde et sécurise vos accès à vos réseaux sociaux, vos webmails, vos sites d'e-commerce préférés... SSL/TLS est également utilisé pour transporter les mails avec SMTPS (SMTP avec session TLS), pour les accès distants de nomadisme (VPN SSL), pour l'accès à des services web par des outils...

Tout le monde parle de SSL, voire SSL/TLS et rarement de TLS, mais ce sont deux protocoles différents, TLS remplaçant SSL, mais comme je dis toujours « kleenex » et « sopalin », tolérons ce petit abus de langage 😉.

Pour faire simple, il y’a eu SSL 1.0, puis SSL 2.0, puis SSL 3.0 (merci cap’tain Obvious), puis TLS 1.0, puis TLS 1.1 et à présent TLS 1.2. Le protocole TLS 1.3 vient à peine de sortir.

Pour des raisons de sécurité, SSL a été totalement abandonné mais les versions 1.0 et 1.1 de TLS présentent également des problématiques de sécurité en particulier dans le cas d’interception du Traffic (Man in the Middle / MitM). Il est alors possible de déchiffrer tout ou partie du trafic, avec par exemple : BEAST (CVE-2011-3389), CRIME (CVE-2012-4929), DROWN (CVE-2016-0800) ou encore ROBOT ATTACK (CVE-2017-17382).
https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/

En septembre dernier, l’IETF a déprécié TLS 1.0 et TLS 1.1, recommandant de passer sur TLS 1.2 : https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-00

Tous ces éléments cumulés ont poussé les principaux éditeurs de navigateurs web à annoncer la fin du support de TLS 1.0 et 1.1 pour janvier 2020 :

Selon ssllabs, déjà, la plupart des sites web utilisent TLS 1.2 : https://www.ssllabs.com/ssl-pulse/, ce qui est également lié à l’utilisation d’HTTP 2.0, pour lequel TLS 1.2 est un prérequis.

Théoriquement, l’impact sera limité car cela laisse 1 an pour s’y préparer mais il y a tout de même un risque sur les sites web peu maintenus ou internes. Il y a également un risque pour les plateformes SaaS, fournissant un accès à une application, mais je doute que ces acteurs ne mettent pas à jour, la disponibilité de leur activité étant liée à de changement 😊.

A noter que ces annonces s’accompagnent de l’arrêt du support de différentes suites cryptographiques et certains algorithmes de condensat.