Debian prévoit de désactiver TLS 1.0 et 1.1

La nouvelle a été annoncée ici. Mais concrètement quelles seront les conséquences ?

Depuis plusieurs années, le protocole de chiffrement TLS 1.2 est le protocole qui doit être préféré pour établir des connexion sécurisées (HTTPS notamment).
Alors que le futur protocole TLS1.3 est en cours de finalisation et d'adoption, dans le même temps, les vieux protocoles prennent petit à petit leur retraite, à l'image de SSLv3 décommissionné car vulnérable à la faille Heartbleed. Reste alors TLS1.0 et TLS1.1 qui sont d'anciens protocoles mais toujours utilisés.

Debian a décidé de les désactiver dans sa version unstable, c'est à dire la version de production prévue pour sortir d'ici 2 à 4 ans. La bibliothèque OpenSSL fournie par Debian pour son système d’exploitation sera configurée par défaut sans ces protocoles.
Ce dé-commissionnement suit les recommandations du PCI-DSS v3.2 , le PCI Security Standards Council.

Debian étant très utilisé sur Internet pour faire fonctionner des serveurs, il faut d'ores et déjà se poser la question de savoir si l'on peut se passer de TLS 1.0 et 1.1. TLS 1.1 étant très peu utilisé, sa disparition se verra à peine, mais TLS 1.0 est encore utilisé par un tiers du web. Il faut donc au plus tôt engager la migration vers TLS 1.2 et TLS 1.3.

Jusque là le problème principal était les applis bancaires. On pourrait s'attendre à ce que les banques montrent l'exemple et pourtant les banques se sont déjà illustrées en retardant au maximum la disparition de SSLv3, preuve d'un milieu qui n’avance que sous la contrainte.
Heureusement, la recommandation PCI-DSS est suivie à la lettre par les banques, qui s’adaptent déjà à ce changement comme Ingenico l’a annoncé.

Aujourd'hui, le web avance à marche forcée, à juste titre, alors comment vérifier si votre navigateur ou vos sites fonctionnent en TLS 1.2 ? Pour le navigateur, vous pouvez utiliser le test de Qualys SSL qui vous renseignera sur les protocoles et les ciphers (algorithmes) supportés.

Pour tester les sites web, vous pouvez utiliser au choix le test serveur de Qualys, qui attribue une note en fonction de la configuration sécurité, ou le site Cryptcheck d'Aeris qui propose la même chose mais est plus sévère sur les notes.

Merci d'ailleurs à Aeris d'avoir republié le message de la liste Debian.

Page top