Auteur Sujet: TLS 1.3 arrive...  (Lu 11409 fois)

0 Membres et 1 Invité sur ce sujet

zoc

  • Client Orange Fibre
  • *
  • Messages: 3 453
  • Antibes (06)
TLS 1.3 arrive...
« Réponse #48 le: 11 juin 2019 à 10:30:40 »
openssl 1.1.1 est maintenant disponible sur Ubuntu 18.04 LTS.

TLS 1.3 activé sans soucis jusqu'à présent sur mon reverse proxy nginx.


vivien

  • Administrateur
  • *
  • Messages: 38 436
    • Twitter LaFibre.info
TLS 1.3 arrive...
« Réponse #49 le: 11 juin 2019 à 21:54:23 »
C'est une bonne nouvelle.

Pour Apache il faudra par contre déployer une nouvelle version pour permettre d'avoir TLS 1.3



Ce que je trouve étonnant, c'est que sur un Ubuntu Desktop, la mise à jour n'est pas proposée par le gestionnaire de mise à jour graphique : il faut passer par apt pour faire la mise à jour !

Ce n'est d'ailleurs pas le seul paquet concerné :


Si vous avez une idée du pourquoi, je cherche à comprendre pourquoi certains paquets ne sont pas proposés par le gestionnaire de mises à jour graphique.

Précision : capture d'écran réalisé sur un Ubuntu 18.04.1 clean sur lequel toutes les mises à jour par le gestionnaire de mises à jour graphique ont été réalisées. Aucun paquet n'a été rajouté ou enlevé à ceux qui sont installés par défaut par Ubuntu 18.04.1

vivien

  • Administrateur
  • *
  • Messages: 38 436
    • Twitter LaFibre.info
TLS 1.3 arrive...
« Réponse #50 le: 14 juin 2019 à 14:09:54 »
Je me demande si ce n'est pas le fait qu'il soit nécessaire dans certains cas de redémarrer des services qui fait que la mise à jour n'est pas proposée directement.

Sur un serveur Ubuntu 18.04.2 configuré pour appliquer automatiquement les mises à jour de sécurité ("${distro_id}ESM:${distro_codename}") et les mises à jour recommandées ("${distro_id}:${distro_codename}-updates") la mise à jour OpenSSL 1.1.1 ne se fait pas.

Le début de mon fichier /etc/apt/apt.conf.d/50unattended-upgrades : (Note: je n'ai pas activé les mises à jour automatiques du débot non gérées "${distro_id}:${distro_codename}-backports"; et préversion "${distro_id}:${distro_codename}-proposed")
// Automatically upgrade packages from these (origin:archive) pairs
//
// Note that in Ubuntu security updates may pull in new dependencies
// from non-security sources (e.g. chromium). By allowing the release
// pocket these get automatically pulled in.
Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        // Extended Security Maintenance; doesn't necessarily exist for
        // every release and this system may not have it installed, but if
        // available, the policy for updates is such that unattended-upgrades
        // should also install from here by default.
        "${distro_id}ESM:${distro_codename}";
        "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

Avec un simple apt upgrade j'ai par contre la mise à jour qui se lance et qui propose de redémarrer les services :

vivien

  • Administrateur
  • *
  • Messages: 38 436
    • Twitter LaFibre.info
TLS 1.3 arrive...
« Réponse #51 le: 14 juin 2019 à 22:00:23 »
Je suis mauvaise langue, il suffisait d'attendre : la mise à jour OpenSSL est disponible sur l'outil graphique :


vivien

  • Administrateur
  • *
  • Messages: 38 436
    • Twitter LaFibre.info
TLS 1.3 arrive...
« Réponse #52 le: 21 mars 2020 à 15:00:19 »
Ubuntu 18.04 propose TLS 1.3 avec Apache !

Je ne sais pas depuis quand c'est en place : je me suis apercus aujourd'hui mes serveurs sous Ubuntu 18.04 avaient du TLS 1.3

Je note bien les mises à jour proposées pour Apache, mais on est resté sur la même version et je ne pensais pas que le support de TLS 1.3 (inexistant dans la version 2.4.29 d'Apache) serait rétro-porté.
Il faut en effet OpenSSL 1.1.1 et une version d'Apache qui supporte TLS 1.3 pour avoir TLS 1.3 activé.

Je ne sais pas dans quelle mise à jour ci-dessous le patch TLS 1.3 est arrivé...


01/09/2018 : Apache/2.4.29 (Ubuntu) Server built: 2018-06-27T17:05:04
04/10/2018 : Apache/2.4.29 (Ubuntu) Server built: 2018-10-03T14:41:08
27/11/2018 : Apache/2.4.29 (Ubuntu) Server built: 2018-10-10T18:59:25
05/04/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-04-03T13:22:37
11/07/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-06-28T16:49:35
19/08/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-07-16T18:14:45
30/08/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-08-26T13:41:23
18/09/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-09-16T12:58:48
18/03/2020 : Apache/2.4.29 (Ubuntu) Server built: 2020-03-13T12:26:16

Harvester

  • Client K-Net
  • *
  • Messages: 208
  • RIP Essonne Numérique - FTTH Pulse - Limours (91)
    • Site perso
TLS 1.3 arrive...
« Réponse #53 le: 21 mars 2020 à 21:50:26 »
https://changelogs.ubuntu.com/changelogs/pool/main/a/apache2/apache2_2.4.29-1ubuntu4.13/changelog

Premier ajout du support TLS 1.3 le 3 décembre 2019, et patchs additionnels le 13 mars 2020 :)

vivien

  • Administrateur
  • *
  • Messages: 38 436
    • Twitter LaFibre.info
TLS 1.3 arrive...
« Réponse #54 le: 21 mars 2020 à 21:59:42 »
Donc c'est la mise à jour qui a été poussée le 18 mars 2020 (mercredi dernier) qui apporte TLS 1.3

Il sera intéressant de voir le gain que cela va faire sur les stats, car c'est appliqué comme une mise à jour de sécurité sur Ubuntu 18.04.