Décidément c’est le grand ménage. Après que Google ait annoncé que désormais il signalerait les sites qui fonctionneraient en dehors du mode HTTPS, la communauté, de manière quasi unanime, s’est prononcée pour l’abandon sur leurs navigateurs des vieilles versions de TLS.

Etant donné que nous sommes contraints désormais de passer par un mode HTTPS pour nous connecter aux sites Internet, une volonté affichée par Google, il nous faut choisir la solution qui nous semblera la plus pertinente, pour justement de fonctionner de manière plus sécurisée.

Plusieurs versions de TLS existent actuellement qui permettent de répondre à cette nécessité, mais les plus anciennes, dont une qui existe depuis vingt ans, ne donnent plus satisfaction et doivent être bannies du paysage.

Les versions concernées de TLS sont les 1.0 et 1.1, peu nombreuses il est vrai, puisque 94 % des sites sont passés à la 1.2, en attendant de migrer vers la 1.3 que l’IETF vient seulement de valider et à qui il faut donner un peu de temps pour s’imposer.

Pour une fois les cinq navigateurs les plus déployés sont en phase : Chrome, Edge, IE, Safari et Firefox, qui tous sont compatibles avec TLS 1.2, ce qui n’est pas encore le cas de TLS 1.3, pour lequel seuls Chrome et Firefox sont conformes.

Pas le feu au lac

La fin des TLS 1.0 et 1.1 est planifiée pour le premier semestre 2020, sans qu’aucune date précise n’ait encore été précisée. Il n’y a donc pas péril et nous aurons tout le temps pour nous préparer.

Il ne faut cependant pas négliger le problème, car le passage à TLS 1.2 ou 1.3 et l’abandon des versions précédentes est avant tout une question de codage et de frameworks.

C’est le code qu’il va falloir modifier de manière à ce qu’il active, en JavaScript par exemple, les bons protocoles.

Il est vrai que les usagers ont largement anticipé la migration, puisque les vieilles versions ne concernent qu’une partie très réduite du parc.

Plus globalement on peut aussi se poser la question du passage à TLS 1.3, non seulement pour les utilisateurs impactés par la fin des anciennes versions et qui auraient tout intérêt à oublier l’étape 1.2, mais aussi pour la grande majorité des sites qui sont sur 1.2 et qui pourraient bénéficier des gros avantages en termes de sécurité que leur apporte la 1.3. En particulier le colmatage des failles dont se sont servis les criminels pour leurs exploits DROWN, POODLE, SLOTH, CRIME, etc, avec la suppression du protocole de hashage MD-5, la généralisation d’une nouvelle technique d’échanges, dite PFS (Perfect Forward Secrecy), fondée sur l’usage de clés éphémères, etc.

Evidemment tous les sites ne sont pas demandeurs d’un tel luxe de précautions, mais il est quand même recommandé d’anticiper sur cette évolution, car un jour ou l’autre, à son tour, elle deviendra obligatoire.