Auteur Sujet: Abandon de TLS 1.0 et 1.1 dans les navigateurs et systèmes d’exploitation  (Lu 6617 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
OpenSSL abandonne le support des versions TLS 1.0/1.1 sur Debian Unstable

C'est une information importante : Debian 10 qui sortira en 2019, ne supportera plus TLS 1.0 et TLS 1.1.
Quand il sera utilisé coté serveur, cela implique d'avoir un navigateur récent, qui support TLS 1.2 :
- Firefox 27 et supérieur
- Google Chrome 38 et supérieur
- Microsoft Internet Explorer 11 ou Microsoft Edge
- Safari versions 7 et supérieur (OS X 10.9 Mavericks et supérieur)
- Navigateur par défaut d'Android 5.0 ou supérieur
- Mobile Safari versions 5 et supérieur (iOS 5 et supérieur)

Les navigateurs bloqués sont essentiellement des tablette Android, qu'il n'est pas possible de mettre à jour et qui utilisent le navigateur par défaut (Google Chrome sous Android 4 est compatible TLS 1.2).  Pour Android 2, il me semble que la version proposé de Chrome ne support pas TLS 1.2
Il y a également les utilisateurs bloqués avec des veilles versions d'Internet Eplorer par leur entreprise ou par ce que Microsoft ne support pas IE 11 (comme Winodws server 2012 qui est limité à IE 10)
Coté Mac, il y a les utilisateurs de veilles versions de MacOS X, comme Virginie sur ce forum :

Hugues pour mon Netbook Samsung NC10 je reste sur Leo 10.6.8 bien dimensionné pour lui, il supporte bien la SSD et le Trim :) !

Après pour mon fixe je suis toujours à Mountain Lion :) !
Firefox et Safari ne supportent plus non plus les veilles version de Mac OS X, donc une mise à jour est nécessaire - entraînant généralement un changement de Mac.

L'article de Developpez.com :

Dans la liste de diffusion de Debian, Kurt Roeckx a déclaré « Je viens d’uploader une version d'OpenSSL sur Unstable qui désactive le protocole TLS 1.0 et 1.1. Cela laisse actuellement TLS 1.2 en tant que seul protocole SSL/TLS pris en charge.

« Cela risque certainement de casser certaines choses qui, pour quelque raison que ce soit, ne supportent toujours pas TLS 1.2. Si vous vous trouvez dans ce cas de figure, je suggère vivement d’ajouter un support pour cela.

« OpenSSL a publié une version il y a cinq ans qui prenait en charge TLS 1.2. Le support actuel côté serveur semble être d'environ 90 % ».

Rappelons que Debian « unstable » (connu aussi sous le nom de code Sid) n'est pas à proprement parler une version de Debian, mais plutôt une publication continue de la distribution renfermant les paquets les plus récents et les meilleurs qui viennent d'être introduits dans le système Debian.

Quel est le problème avec TLS 1.0 ?

Au fil des années, de nombreuses failles ont été exposées par des chercheurs sur cette version du protocole. Par exemple, en 2011, deux chercheurs ont mis au point un outil capable de le mettre à mal. L’outil BEAST (Browser Exploit Against SSL/TLS), dont une démonstration a été faite durant la conférence Ekoparty, a été présenté comme étant en mesure de casser un cookie PayPal chiffré en moins de dix minutes.

Kaspersky avait alors expliqué que lorsqu'une victime visite un site sécurisé via TLS 1.0 et reçoit le cookie HTTPS, le code de BEAST est injecté dans son navigateur Web grâce par exemple à une publicité iframe malveillante. Un sniffer entre alors en jeu pour rechercher les connexions TLS actives et BEAST déchiffre les cookies.

Qu’est-ce que cette annonce signifie pour les utilisateurs de Sid ?

Tout d'abord, le support a été abandonné pour Debian Unstable, c'est-à-dire que cette modification prendra effet uniquement sur Debian Linux 10. Si vous exécutez Debian Unstable sur le serveur, des tonnes de choses vont être cassées cryptographiquement. Sans oublier le matériel et le firmware existants qui utilisent toujours TLS 1.0. Du côté client , vous devez utiliser la dernière version d'un navigateur tel que Chrome/Chromium et Firefox. Les anciennes versions d'Android (par exemple Android 5.x et les versions antérieures) ne prennent pas en charge TLS 1.2. Vous devez utiliser au moins iOS 5 pour le support TLS 1.2. Il en va de même pour les serveurs SMTP/mail, les clients de messagerie de bureau, les clients FTP et plus encore.

Comment savoir quelle version du protocole TLS mon navigateur supporte ?

Vous pouvez par exemple passer par un plug-in comme CipherFox (qui va afficher la chaîne cipher, protocole et certificat SSL/TLS en cours dans la boîte de dialogue) ou SSleuth (qui classe une connexion SSL/TLS établie et donne un bref résumé de la suite de chiffrement, du certificat et d'autres paramètres SSL/TLS). Vous pourrez également utiliser les outils développeurs de Google Chrome pour avoir ces informations.


Source : developpez.com, e 8 août 2017, par Stéphane le calme.

Nh3xus

  • Réseau Deux Sarres (57)
  • Abonné MilkyWan
  • *
  • Messages: 3 247
  • Sarrebourg (57)
Debian Unstable: fin du support des versions TLS 1.0/1.1
« Réponse #1 le: 16 août 2017 à 19:41:56 »
Une petite pensée pour les gens qui ont encore des équipements qui utilisent du RC4 pour l'interface d'admin.  :-\

Symbol

  • AS52075 Wifirst
  • Expert
  • *
  • Messages: 349
Debian Unstable: fin du support des versions TLS 1.0/1.1
« Réponse #2 le: 17 août 2017 à 12:12:53 »
Debian 9 qui sortira en 2019
10, pas 9

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Debian Unstable: fin du support des versions TLS 1.0/1.1
« Réponse #3 le: 17 août 2017 à 13:13:56 »
Tout a fait, Debian 9 Stretch est sorti le 17 juin 2017.

Debian Unstable est utilisé pour créer Debian 10.

Comme il se passe entre 2ans et 2ans et demi entre chaque version, Debian 10 sortira probablement au second semestre 2019.

Sendell

  • Abonné SFR fibre FttH
  • *
  • Messages: 15
  • Lyon
    • Site perso
Debian Unstable: fin du support des versions TLS 1.0/1.1
« Réponse #4 le: 17 octobre 2018 à 23:02:09 »
Hola
J'ai installé une debian testing minimale, migrée en unstable, pour me préparer un peu à l'arrivée de TLS1.3 et la suppression de TLS1.0, 1.1 ; openssl 1.1.1 fait partie des rares paquets qui ont été mis à jour de la rapide migration.
J'ai ensuite installé apache (2.4.35), activé modssl, laissé la conf par défaut (SSLProtocol All -SSLv3), importé mon certificat wildcard LE : TLS1.0, 1.1 et 1.2 sont acceptés. Le support d'openssl1.1.1 et TLS1.3 est annoncé avec apache 2.4.36, il faudra au moins apache 2.4.37 qui résout un soucis lié à HTTP/2 : https://svn.apache.org/repos/asf/httpd/httpd/branches/2.4.x/CHANGES

Ubuntu 18.10 arrive avec openssl1.1.1, mais le changelog indique par rapport au paquet Debian : Revert "Enable system default config to enforce TLS1.2 as a minimum" & "Increase default security level from 1 to 2"

Je n'héberge que du perso, j'attendrai un peu avant de couper TLS1.0 ; l'arrivée de Debian 10 et TLS1.3 sera probablement le bon moment. Pour tester de plus près pour l'administration serveur apache, il faut en tous cas attendre.

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Debian Unstable: fin du support des versions TLS 1.0/1.1
« Réponse #5 le: 18 octobre 2018 à 08:25:01 »
Merci, pour Ubuntu 18.10 j'avais regardé il y a 2 semaines et ce n'était pas OpenSSL 1.1.1 qui était proposé. (OpenSSL 1.1.1 est la première version à prendre en charge TLS 1.3)

Aujourd'hui plus de un quart des sites web ont désactivés TLS 1.0 :

J'ai mis à jour le graphique.

Le point important, quand don regarde mois par mois, c'est qu'au mois de juin 7% des sites web ont supprimé le support de TLS 1.0

Cela montre que les recommandations du PCI Data Security Standard sont suivies par un nombre non négligeable de sites.




Les donnés de T3 2018  sont calculées à partir des données relevées pour juillet et août 2018 et des données évaluées en suivant la tendance pour septembre 2018.


Source des données : Qualys SSL Labs sur le 150 000 sites https les plus populaires

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 095
  • Alpes Maritimes (06)
Firefox ne supporte plus TLS 1.0 et 1.1
« Réponse #6 le: 11 mars 2020 à 12:32:39 »
Voilà comme celà avait été annoncé au printemps 2018 lors de la sortie de TLS 1.3, les navigateurs arrêtent de supporter TLS 1.0 et 1.1.

C'est officiel avec la sortie de Firefox 74, Firefox a coupé le support de TLS 1.0 et 1.1.
- https://www.mozilla.org/en-US/firefox/74.0/releasenotes/
- https://hacks.mozilla.org/2020/02/its-the-boot-for-tls-1-0-and-tls-1-1/

Les navigateurs bloquent l'accès aux sites HTTPS utilisant les protocoles TLS 1.0 et 1.1

Plus de 850 000 sites web utilisent encore les anciens protocoles TLS 1.0 et 1.1, qui devraient être supprimés de la plupart des principaux navigateurs dans le courant du mois. Il s'agit notamment de sites web de grandes banques, de gouvernements, d'organismes de presse, de télécommunications, de magasins de commerce électronique et de communautés Internet, selon un rapport publié aujourd'hui par la société technologique britannique Netcraft.

Les 850 000 sites web utilisent tous le HTTPS, mais sur une version peu sécurisée. Ils prennent en charge des connexions HTTPS via des certificats cryptographiques basés sur les protocoles TLS 1.0 et TLS 1.1. Il s'agit de protocoles anciens, publiés respectivement en 1996 et 2006. Ces protocoles utilisent des algorithmes cryptographiques faibles et sont vulnérables à une série d'attaques cryptographiques qui ont été divulguées au cours des deux dernières décennies, telles que BEAST, LUCKY 13, SWEET 32, CRIME et POODLE. Ces attaques permettent aux attaquants de décrypter le HTTPS et d'accéder au données de trafic web d'un utilisateur en clair.

De nouvelles versions de ces protocoles ont été publiées en 2008 (TLS 1.2) et en 2017 (TLS 1.3), toutes deux considérées comme supérieures et plus sûres à utiliser que TLS 1.0 et TLS 1.1.

Source : https://www.zdnet.fr/actualites/les-navigateurs-bloquent-l-acces-aux-sites-https-utilisant-les-protocoles-tls-10-et-11-39900171.htm

Normalement, c'est invisible pour les utilisateurs, puisque Firefox exige que les sites en HTTPS utilise à minima TLS 1.2 (sorti en 2008 - soit il y a 12 ans)

Cela devrait être pareil pour Chrome avec la version 81 qui sort le 17 Mars 2020.

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Copie d'écran de l’accès à distance sur ma box RED :

SFR: Pour accéder à la box RED Sagem F@st 3284 DC, https est imposé, mais :
- Le choix se limite à SSLv2, SSLv3 et TLS 1.0 !
- https sans certificat valide

Écran 1, à cause d'absence de TLS 1.2 ou supérieur :


Cryptage

  • Abonné Free fibre
  • *
  • Messages: 297
  • Dijon
C'est un vrai massacre ce manque de suivi...

J'ai un switch Netgear (pourtant pas si vieux) et l'IPMI d'une des mes cartes mères qui sont en TLS 1.0.
Du coup ça passe encore sous Firefox 74 en forçant mais ce sera bientôt fini.

C'est navrant et ça montre à quel point certains équipements sont exposés en terme de sécurité (en éclatant le firmware IPMI j'ai vu que c'était de l'OpenSSL en 0.9.8... :o ).

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
L'alternative http est possible sur les deux cas évoqués ?

Pour l’accès à distance de ma box SFR, https est la seule solution.

Perso j'ai des IPMI qui demandent le plug-in Java, donc je suis déjà obligé de passer par une machine virtuelle avec la dernier version de Firefox qui supporte le plug-in Java.

Cryptage

  • Abonné Free fibre
  • *
  • Messages: 297
  • Dijon
Sur le switch oui sur l'IPMI non.

Hasard ou non ils ont sorti une MAJ avant hier...
... Mais toujours pas de TLS 1.2  :-[

Effectivement Java un pur moment aussi. Sous Linux avec IcedTea ça passe encore pas trop mal mais jusqu'à quand...

Obsolescence quand tu nous tiens !

La VM va devenir incontournable ou alors il faudra garder un vieux navigateur à côté.


Sendell

  • Abonné SFR fibre FttH
  • *
  • Messages: 15
  • Lyon
    • Site perso
TLS1.0 et 1.1 sont de retour dans Firefox, l'accès à l'information (aux sites gouvernementaux ou de télétravail obsolètes...) ayant été jugé prioritaire pendant la crise sanitaire ; les sorties de Chrome ont également été repoussées.

Citation de: Mozilla Developer
We have re-enabled TLS 1.0 and 1.1 in Firefox 74 and 75 Beta to better enable access to sites sharing critical and important information during this time.