Debian prévoit de désactiver TLS 1.0 et 1.1

La nouvelle a été annoncée ici. Mais concrètement quelles seront les conséquences ?

Depuis plusieurs années, le protocole de chiffrement TLS 1.2 est le protocole qui doit être préféré pour établir des connexion sécurisées (HTTPS notamment).
Alors que le futur protocole TLS1.3 est en cours de finalisation et d'adoption, dans le même temps, les vieux protocoles prennent petit à petit leur retraite, à l'image de SSLv3 décommissionné car vulnérable à la faille Heartbleed. Reste alors TLS1.0 et TLS1.1 qui sont d'anciens protocoles mais toujours utilisés.

Debian a décidé de les désactiver dans sa version unstable, c'est à dire la version de production prévue pour sortir d'ici 2 à 4 ans. La bibliothèque OpenSSL fournie par Debian pour son système d’exploitation sera configurée par défaut sans ces protocoles.
Ce dé-commissionnement suit les recommandations du PCI-DSS v3.2 , le PCI Security Standards Council.

Debian étant très utilisé sur Internet pour faire fonctionner des serveurs, il faut d'ores et déjà se poser la question de savoir si l'on peut se passer de TLS 1.0 et 1.1. TLS 1.1 étant très peu utilisé, sa disparition se verra à peine, mais TLS 1.0 est encore utilisé par un tiers du web. Il faut donc au plus tôt engager la migration vers TLS 1.2 et TLS 1.3.

Jusque là le problème principal était les applis bancaires. On pourrait s'attendre à ce que les banques montrent l'exemple et pourtant les banques se sont déjà illustrées en retardant au maximum la disparition de SSLv3, preuve d'un milieu qui n’avance que sous la contrainte.
Heureusement, la recommandation PCI-DSS est suivie à la lettre par les banques, qui s’adaptent déjà à ce changement comme Ingenico l’a annoncé.

Aujourd'hui, le web avance à marche forcée, à juste titre, alors comment vérifier si votre navigateur ou vos sites fonctionnent en TLS 1.2 ? Pour le navigateur, vous pouvez utiliser le test de Qualys SSL qui vous renseignera sur les protocoles et les ciphers (algorithmes) supportés.

Pour tester les sites web, vous pouvez utiliser au choix le test serveur de Qualys, qui attribue une note en fonction de la configuration sécurité, ou le site Cryptcheck d'Aeris qui propose la même chose mais est plus sévère sur les notes.

Merci d'ailleurs à Aeris d'avoir republié le message de la liste Debian.

5 ans de répit

Ce soir, c’est le candidat du centre qui a gagné.
Le fascisme, l’ennemi de toujours a été une nouvelle fois vaincu, malgré ses 21% au premier tour et malgré ses 34% au second tour, il a été vaincu.
Faut-il pour autant se réjouir, ou faut-il se remettre en question pour les 5 ans à venir ?

Continue reading

Nous sommes tous des abstensionnistes

Comme à chaque élection, le discours appelant à ne pas s’abstenir ressort. Où l’on explique que le vote est un devoir et que c’est le fondement de la démocratie. Mais pourquoi ce discours ressort seulement tous les 5 ans ? Parce que notre démocratie ne va pas bien.

Continue reading

Apple est incompétent en HTTPS

Apple joue les innovateurs, souvent même se permet de donner aux leçons aux autres.

Mais dans beaucoup de domaines, Apple est juste incompétent. Volontairement ou par négligence, Apple menace le business model de certaines entreprises et pire, menace le modèle de confiance sur lequel repose HTTPS, c’est à dire l’authentification des sites Web.

Continue reading

Bonjour ami de Twitter

Si tu tombes sur cette page, c'est que tu viens de Twitter. Si jamais mon éventuelle non-activité t'inquiète, sache que je suis plus actif ailleurs et notamment ici. N'hésites pas à parcourir ce blog et à me rejoindre sur les réseaux sociaux suivants : Diaspora : solarus@diasp.eu GNU/Status :  […]

Continue reading

Tester TLS 1.3 avec Firefox

HTTPS n’est qu’un nom générique pour désigner le chiffrement du protocole HTTP grâce à TLS (anciennement SSL). TLS est disponible aujourd’hui en production sous sa version 1.2, mais la nouvelle version du protocole arrive.

Continue reading

IPv6 et Linux Mint

Si vous utilisez Linux Mint, vous devriez faire attention à un paramètre. Pour une raison étrange, ils ont bidouillé un paramètre de Firefox pour désactiver l’utilisation d’IPv6 par Firefox. Pour corriger cela, ouvrez la page about:blank , cherchez le paramètre network.dns.disableIPv6 et passez le à  […]

Continue reading

Voyage à Bercy

Jeudi, je reçois un email dans ma boite aux lettres, Madame la Secrétaire d’État au Numérique Axelle Lemaire, vous invite , le lundi suivant, à une réunion concernant vos contributions sur le Projet de Loi Numérique. En effet, deux semaines auparavant, j’avais participé à la contribution officielle  […]

Continue reading

Chronique CPU : Le temps

Bonjour chers élèves.

Le cours d'aujourd'hui est un peu particulier, puisque nous allons parler d'histoire mais surtout de temps.

Car qui dit passé, présent ou futur, évoque une notion de temps. Hors qu'est-ce le temps ? Et bien sachez qu'il est très difficile de définir le temps par autre chose que par lui-même. Vous pouvez essayez de le définir comme un l'intervalle entre deux événements ou n'importe qu'elle autre analogie, vous finirez toujours par utiliser des notions de temps, on parle alors de "tautologie" (qui n'est pas la science des blagues de Toto). Tout comme Dieu est un dieu, le temps est le temps. Quel que soit le langage que vous utilisiez, vous définirez toujours le temps par lui-même.

Continue reading

Conférence : La Neutralité du Net

Il y a quelques temps on m'a demandé de donner une conférence à propos de la Neutralité du Net.
Vous trouverez en lien, le fichier Open Document et le PDF de cette conférence.
Ce document est mis à disposition selon la licence CC-0 afin d'être ajoutée au domaine public volontaire.
Vous pouvez selon cette licence, le télécharger, le copier, le redistribuer, le modifier librement.
Aussi si vous améliorez ce document, je vous serais très reconnaissant de le republier sous cette même licence et de m'en avertir, afin qu'un maximum de personnes puissent en profiter.

D'autres présentations de conférences paraîtront également sur mon blog au fur et à mesure.
Restez branchés et abonnez vous à mon fil RSS pour être au courant des nouveaux articles.

Continue reading

La SNCF a un train de retard

Mon grand père m'a toujours dit : "Quand on est pas content de quelque chose il faut le faire soi-même. C'est l'histoire originelle de Raildar.fr, petit site imaginé et développé par Turblog. Le principe est simple, assembler les données en temps réel d'Infolignes pour en faire une carte.

Continue reading

Utiliser le chat Facebook sans Facebook Messenger

Depuis quelques mois déjà, le réseau social Facebook a décidé de rendre obligatoire l'utilisation de son application Messenger pour chatter depuis les mobiles Android et iOS. Cette décision est très critiquée par les utilisateurs, notamment à cause du nombre étrange de permissions demandées par l'application, il suffit de lire les avis sur le Play Store. playstore-fbmessenger.png

Continue reading

Debian retire CACert de sa base de certificats

CACert est une autorité de certification (AC ou CA en anglais) chargée de délivrer des certificats "SSL" ou plus exactement X.509. L'utilisation la plus répandue de ces certificats est l'authentification et le chiffrement HTTPS. CACert est unique en son genre car c'est la seule autorité de  […]

Continue reading

Page top