Article

Anciennement connu sous le nom de SSL (Secure Socket Layer), le protocole cryptographique le plus répandu sur internet, TLS (Transport Layer Security) est sur le point d’être mis à jour globalement grâce à un effort commun des géants du web et de l’IETF.

1. Historique

La première apparition grand public de SSL/TLS remonte à 1995, dans le navigateur Netscape Navigator. Le but était de chiffrer les données échangées entre un navigateur et un serveur. Depuis, plusieurs versions ont vu le jour : SSLv2, SSLv3, TLS 1.0, TLS 1.1, TLS 1.2 et désormais TLS 1.3 (https://tools.ietf.org/html/rfc8446).

Voici une chronologie de l’arrivée de ses différentes versions :

BSSI-TLS-1.3 - Evolution des versions

Source : https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/

La dernière version, supportée par Chrome, Firefox et Safari (désactivé par défaut), et encore en phase expérimentale, mais est de plus en plus implémentée par de nombreux librairies (OpenSSL 1.1.1) et logiciels, tels qu’Apache Server et Nginx.

2. Nouveautés

Dix ans après le TLS 1.2, cette version apporte de nombreux changements et assure à la fois une meilleure sécurité ainsi que de meilleures performances.

De plus, cette nouvelle version devrait permettre aux administrateurs système de ne pas avoir à effectuer des modifications quant au durcissement de la configuration TLS. En effet, la configuration actuelle par défaut de SSL/TLS de nombreuses implémentations nécessite des modifications afin d’être conforme aux meilleures pratiques de sécurité.

Cette mise à jour est la plus importante depuis SSL 3.0 et apporte son lot d’améliorations et de changements. Les plus notables sont les suivants :

  • Limitation des échanges lors de la négociation de clés, grâce à un mécanisme d’anticipation. L’échange de clés se faisait de la manière suivante dans la version 1.2.

BSSI-TLS-1.3 - TLS1.2

Source : https://openweb.eu.org/articles/https-de-ssl-a-tls-1-3

Désormais, il n’y a plus d’échange de spécification de clés et de suite de chiffrements. La clé est directement envoyée par le client. Si le serveur est compatible, le processus d’initialisation est ainsi réduit :

BSSI-TLS-1.3 - TLS 1.3

Source : https://openweb.eu.org/articles/https-de-ssl-a-tls-1-3

  • Retrait de suites cryptographiques et protocoles considérés comme vulnérables et obsolètes (SHA-1, RC4, DES, 3DES, AES-CBC, MD5, transport de clé via RSA, CBC, groupes Diffie-Hellman, EXPORT). Ces suites sont connues pour être sujettes à des attaques comme BEAST et BREACH, entre autres. De plus, les protocoles utilisés sont désormais seulement des protocoles « authentifiés » (Authenticated Encryption with Associated Data | AEAD). Ceci permet d’assurer la confidentialité, l’intégrité ainsi que l’authenticité des données chiffrées.
  • Réutilisation de clés partagées (Zero Round Trip Time Resumption | 0-RTT). Après une première connexion et après un premier échange de clé, un client peut chiffrer ses données directement en se reconnectant au site sans avoir à refaire le mécanisme initial. Cette nouveauté permet d’améliorer grandement la vitesse, plus notablement encore avec une connexion internet mobile.

3. Déploiement

Les navigateurs les plus utilisés (Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari) se sont mis d’accord afin de rendre obsolètes les protocoles TLS 1.0 et 1.1 d’ici à 2020. Cela devrait permettre de rendre l’internet plus sûr et plus rapide.

Par défaut, seuls Chrome et Firefox utilisent ce protocole pour l’instant, d’après ssllabs.com :

BSSI-TLS-1.3 - SSLLabs

Pour de nombreuses raisons, le déploiement de cette version aura pris plus de 28 versions et plus de 3 ans. Notamment à cause de problème de rétrocompatibilité, ou encore des « middleboxes » et de leurs implémentations de TLS 1.2. Ces appareils généralement utilisés dans les entreprises qui permettent d’inspecter activement ou passivement le trafic ont ralenti le déploiement de la version 1.3 de TLS.

4. Conclusion

Quelques années seront nécessaires avant que cette version soit la plus utilisée sur Internet. Mais une chose est certaine ! Malgré le temps de mise en service de cette mise à jour et les problèmes rencontrés, il est clair que l’on se dirige vers un internet plus sûr, plus fiable et plus rapide.

Ecrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories
Twitter

TeamViewer bans your ID if you will try to connect with the wrong password and close the connection 10 times, but if you don't finalization a connection (on the screen "Cancel" button), you can brute 4-digit PIN-code.
cmd "C:\PF\TeamViewer\TeamViewer.exe" -i %ID% -P %PIN%

Le 26/09 l'EBG remettra à l'ensemble de la communauté le livre blanc "Cybersécurité et Confiance Numérique" réalisé en partenariat avec @AFNOR, @Certigna et @CESIN_France Pour vous inscrire à la conference @ebg https://t.co/fWQSZHf7Jy … #cybersécurité #EBG

BSSI continue son développement et recherche des compétences en cybersécurité sur Paris et Toulouse. https://t.co/hj4uJ53EVM

La Californie possède sa version du RGPD. #rgpd #privacy #europefirst https://t.co/CtJilpW0z3

Load More...

© 2017 Blog BSSI, inc. All rights reserved.