Auteur Sujet: TLS 1.3 arrive... (Lu 22132 fois)

zoc · « **Réponse #48 le:** 11 juin 2019 à 10:30:40 »

openssl 1.1.1 est maintenant disponible sur Ubuntu 18.04 LTS.

TLS 1.3 activé sans soucis jusqu'à présent sur mon reverse proxy nginx.

vivien · « **Réponse #49 le:** 11 juin 2019 à 21:54:23 »

C'est une bonne nouvelle.

Pour Apache il faudra par contre déployer une nouvelle version pour permettre d'avoir TLS 1.3

Ce que je trouve étonnant, c'est que sur un Ubuntu Desktop, la mise à jour n'est pas proposée par le gestionnaire de mise à jour graphique : il faut passer par apt pour faire la mise à jour !

Ce n'est d'ailleurs pas le seul paquet concerné :

Si vous avez une idée du pourquoi, je cherche à comprendre pourquoi certains paquets ne sont pas proposés par le gestionnaire de mises à jour graphique.

Précision : capture d'écran réalisé sur un Ubuntu 18.04.1 clean sur lequel toutes les mises à jour par le gestionnaire de mises à jour graphique ont été réalisées. Aucun paquet n'a été rajouté ou enlevé à ceux qui sont installés par défaut par Ubuntu 18.04.1

vivien · « **Réponse #50 le:** 14 juin 2019 à 14:09:54 »

Je me demande si ce n'est pas le fait qu'il soit nécessaire dans certains cas de redémarrer des services qui fait que la mise à jour n'est pas proposée directement.

Sur un serveur Ubuntu 18.04.2 configuré pour appliquer automatiquement les mises à jour de sécurité ("${distro_id}ESM:${distro_codename}") et les mises à jour recommandées ("${distro_id}:${distro_codename}-updates") la mise à jour OpenSSL 1.1.1 ne se fait pas.

Le début de mon fichier /etc/apt/apt.conf.d/50unattended-upgrades : (Note: je n'ai pas activé les mises à jour automatiques du débot non gérées "${distro_id}:${distro_codename}-backports"; et préversion "${distro_id}:${distro_codename}-proposed")

Code: [Sélectionner]

// Automatically upgrade packages from these (origin:archive) pairs
//
// Note that in Ubuntu security updates may pull in new dependencies
// from non-security sources (e.g. chromium). By allowing the release
// pocket these get automatically pulled in.
Unattended-Upgrade::Allowed-Origins {
        "${distro_id}:${distro_codename}";
        "${distro_id}:${distro_codename}-security";
        // Extended Security Maintenance; doesn't necessarily exist for
        // every release and this system may not have it installed, but if
        // available, the policy for updates is such that unattended-upgrades
        // should also install from here by default.
        "${distro_id}ESM:${distro_codename}";
        "${distro_id}:${distro_codename}-updates";
//      "${distro_id}:${distro_codename}-proposed";
//      "${distro_id}:${distro_codename}-backports";
};

Avec un simple apt upgrade j'ai par contre la mise à jour qui se lance et qui propose de redémarrer les services :

vivien · « **Réponse #51 le:** 14 juin 2019 à 22:00:23 »

Je suis mauvaise langue, il suffisait d'attendre : la mise à jour OpenSSL est disponible sur l'outil graphique :

vivien · « **Réponse #52 le:** 21 mars 2020 à 15:00:19 »

Ubuntu 18.04 propose TLS 1.3 avec Apache !

Je ne sais pas depuis quand c'est en place : je me suis apercus aujourd'hui mes serveurs sous Ubuntu 18.04 avaient du TLS 1.3

Je note bien les mises à jour proposées pour Apache, mais on est resté sur la même version et je ne pensais pas que le support de TLS 1.3 (inexistant dans la version 2.4.29 d'Apache) serait rétro-porté.
Il faut en effet OpenSSL 1.1.1 et une version d'Apache qui supporte TLS 1.3 pour avoir TLS 1.3 activé.

Je ne sais pas dans quelle mise à jour ci-dessous le patch TLS 1.3 est arrivé...

01/09/2018 : Apache/2.4.29 (Ubuntu) Server built: 2018-06-27T17:05:04
04/10/2018 : Apache/2.4.29 (Ubuntu) Server built: 2018-10-03T14:41:08
27/11/2018 : Apache/2.4.29 (Ubuntu) Server built: 2018-10-10T18:59:25
05/04/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-04-03T13:22:37
11/07/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-06-28T16:49:35
19/08/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-07-16T18:14:45
30/08/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-08-26T13:41:23
18/09/2019 : Apache/2.4.29 (Ubuntu) Server built: 2019-09-16T12:58:48
18/03/2020 : Apache/2.4.29 (Ubuntu) Server built: 2020-03-13T12:26:16

Harvester · « **Réponse #53 le:** 21 mars 2020 à 21:50:26 »

https://changelogs.ubuntu.com/changelogs/pool/main/a/apache2/apache2_2.4.29-1ubuntu4.13/changelog

Premier ajout du support TLS 1.3 le 3 décembre 2019, et patchs additionnels le 13 mars 2020

vivien · « **Réponse #54 le:** 21 mars 2020 à 21:59:42 »

Donc c'est la mise à jour qui a été poussée le 18 mars 2020 (mercredi dernier) qui apporte TLS 1.3

Il sera intéressant de voir le gain que cela va faire sur les stats, car c'est appliqué comme une mise à jour de sécurité sur Ubuntu 18.04.

vivien · « **Réponse #55 le:** 10 mai 2022 à 19:43:07 »

Statistique du déploiement de TLS 1.3 sur Internet :

En mars 2020 l'ANSSI (Agence nationale de la sécurité des systèmes d'information) recommandait de prendre en charge TLS 1.3.

Extrait du guide ANSSI "Recommandations de sécurité relatives à TLS" :

Guide ANSSI "Recommandations de sécurité relatives à TLS" : (cliquez sur la miniature ci-dessous - le document est au format PDF)

Anonyme · « **Réponse #56 le:** 11 mai 2022 à 05:59:09 »

Tu fais un beau A+ ( en dernière ligne)

vivien · « **Réponse #57 le:** 16 septembre 2022 à 09:30:57 »

TLS 1.3 le support par l'ensemble des clients est enfin arrivé !

Si TLS 1.3 a été introduit rapidement dans les navigateurs web et en quelques semaines, ces mises à jour ont été diffusées à 99% des clients, on peut noter deux mauvais élèves :

- Apple : qui ne gère pas ça dans une mise à jour de Safari, mais dans une mise à jour majeure du système d'exploitation et pas dans Safari.
Résultats, ceux qui sont sous macOS 10.13 High Sierra ont encore reçu une mise à jour de sécurité le 12 novembre 2020, mettant à jour Safari et macOS, mais cette mise à jour ne permettrait pas d'avoir TLS 1.3, il faut passer à MacOS 10.14 Mojave. Cela fait 22 mois que la dernière version de macOS ne supportant pas TLS 1.3 n'est plus maintenue et on peut dire que tous les clients sont enfin compatibles TLS 1.3

- Microsoft : Aujourd'hui Microsoft Edge legacy (version 18) ne supporte pas TLS 1.3 et est très peu utilisée, mais certaines applications Windows intègrent une WebView et elles sont presque toutes encore basées sur l'ancien framework Microsoft Edge, Microsoft venant de lancer la migration vers WebView2 basée sur Chromium et supportant TLS 1.3, je ne serais pas étonné que certaines applications Windows ne supportent pas TLS 1.3.

vivien · « **Réponse #58 le:** 19 mars 2024 à 12:47:33 »

Qualys SSL Labs - SSL Pulse donne des statistiques sur les 150 000 sites Web les plus populaires au monde.

Plus de 99,9% ont toujours le support de TLS 1.2.

Pour les 0,1% qui n'ont pas le support de TLS 1.2, on ne sait pas si c'est qu'ils ont uniquement TKS 1.0 + TLS 1.1 ou s'ils ont uniquement TLS 1.3.

Bien que le support de TLS 1.3 par tous les navigateurs web soit réalisé, on ne voit donc pas encore de retrait de TLS 1.2.

buddy · « **Réponse #59 le:** 19 mars 2024 à 16:51:00 »

dans le TLS 1.2, il y a aussi différente variante.
Certaines sont encore tolérées car le site qui te donne des conseilles sur la sécurité des sites web TLS.

https://ssl-config.mozilla.org/
https://cryptcheck.fr/ (A+ avec ECDHE-RSA-AES128-GCM-SHA256 / ECDHE-RSA-AES256-GCM-SHA384 / ECDHE-RSA-CHACHA20-POLY1305 )
https://internet.nl

Citer

Good:

ECDHE-ECDSA-AES256-GCM-SHA384 (TLS_AES_256_GCM_SHA384 in 1.3) [1.2]
ECDHE-ECDSA-CHACHA20-POLY1305 (TLS_CHACHA20_POLY1305_SHA256 in 1.3) [1.2]
ECDHE-ECDSA-AES128-GCM-SHA256 (TLS_AES_128_GCM_SHA256 in 1.3) [1.2]
ECDHE-RSA-AES256-GCM-SHA384 (TLS_AES_256_GCM_SHA384 in 1.3) [1.2]
ECDHE-RSA-CHACHA20-POLY1305 (TLS_CHACHA20_POLY1305_SHA256 in 1.3) [1.2]
ECDHE-RSA-AES128-GCM-SHA256 (TLS_AES_128_GCM_SHA256 in 1.3) [1.2]

Sufficient:

ECDHE-ECDSA-AES256-SHA384 [1.2]
ECDHE-ECDSA-AES256-SHA [1.0]
ECDHE-ECDSA-AES128-SHA256 [1.2]
ECDHE-ECDSA-AES128-SHA [1.0]
ECDHE-RSA-AES256-SHA384 [1.2]
ECDHE-RSA-AES256-SHA [1.0]
ECDHE-RSA-AES128-SHA256 [1.2]
ECDHE-RSA-AES128-SHA [1.0]
DHE-RSA-AES256-GCM-SHA384 [1.2]
DHE-RSA-CHACHA20-POLY1305 [1.2]
DHE-RSA-AES128-GCM-SHA256 [1.2]
DHE-RSA-AES256-SHA256 [1.2]
DHE-RSA-AES256-SHA [1.0]
DHE-RSA-AES128-SHA256 [1.2]
DHE-RSA-AES128-SHA [1.0]

et pas mal d'autres.
Donc pourquoi s'embêter à désactiver TLS 1.2 ... Puis 90+% des sites n'ont rien de méga confidentiel qui nécessite des niveaux de sécurité ultra élevé. (hors santé et paiement/banque ..). Il vaut mieux que les sysadmin mettent à jour les serveurs / installent les patchs de sécurité.
Il faut quand même rester compatible avec le plus grand nombre.
D'ailleurs lafibre.info supporte toujours de vieux ciphers d'après ce site : https://cryptcheck.fr/https/lafibre.info

Auteur Sujet: TLS 1.3 arrive... (Lu 22132 fois)

Anonyme