En août 2018, l'IETF a approuvé la norme TLS 1.3

TLS 1.0 et TLS 1.1 cesseront bientôt d'exister. La télémétrie de Firefox montre déjà que ces protocoles représentent une fraction négligeable du trafic HTTPS: 1,11% et 0,09%, respectivement. La grande majorité des sites utilisent désormais TLS 1.2. Et en 2019-2020, tous les principaux navigateurs ont l'intention d'abandonner complètement la prise en charge de TLS 1.0 et TLS 1.1. Côté serveur, il est recommandé de désactiver ces protocoles maintenant.

Pourquoi désactiver TLS 1.0 et 1.1

TLS 1.0 aura 20 ans en janvier prochain. Il a rempli son rôle: au fil des ans, le protocole a chiffré des milliards, voire des milliards de connexions. Au fil du temps, il est devenu plus facile de comprendre comment les protocoles de chiffrement doivent être conçus. Exigences accrues pour la fiabilité des chiffres. Malheureusement, TLS 1.0 et 1.1 ne répondent pas à ces exigences.

Certains aspects de TLS 1.0 et 1.1 sont inquiétants, écrit le blog de sécurité de Mozilla. Le pire, c'est qu'ils ne prennent pas en charge le travail avec des algorithmes cryptographiques modernes. Par exemple, lorsqu'ils se serrent la main, ils nécessitent nécessairement l'utilisation de l'algorithme de hachage SHA-1. Dans ces versions de TLS, il n'est pas possible d'installer un algorithme de hachage plus fort pour les signatures ServerKeyExchange ou CertificateVerify. Par conséquent, la seule solution consiste à effectuer une mise à niveau vers la nouvelle version de TLS.

Le 14 septembre 2018, l'Internet Engineering Task Force (IETF) a publié un projet de document officiel dans lequel il ne recommande pas l' utilisation de TLS 1.0 et 1.1. Entre autres, il mentionne qu'un SHA-1 avec une puissance cryptographique de 2 ^ 77 ne peut pas être considéré comme sûr par les normes modernes: "Les opérations 2 ^ 77 [pour attaque] sont en dessous de la limite de sécurité acceptable."


Fragment d' un IETF rejetant l'ancien TLS

Le document fournit des informations techniques plus détaillées sur les raisons de cette décision. Il parle de l'attaque BEAST (Browser Exploit Against SSL / TLS) sur TLS 1.0, à savoir les chiffrements de blocs, où le dernier bloc de chiffrement du message précédent (n-1) est utilisé comme vecteur d'initialisation pour le message n.

TLS 1.1 est éliminé progressivement avec TLS 1.0 car il n'est pas fondamentalement différent et présente essentiellement les mêmes inconvénients. Dans cette version, seules certaines restrictions de TLS 1.0 ont été corrigées, ce qui peut être évité par d'autres moyens (encore une fois, nous parlons d'une attaque BEAST).

Selon les recommandations du NIST, les services Web ont été invités à supprimer la prise en charge des anciennes versions de TLS jusqu'en juillet 2018. Cela a été fait par Amazon, CloudFlare, GitHub, KeyCDN, PayPal et de nombreux autres services Web.

Dates d'arrêt

Les développeurs de tous les principaux navigateurs ont accepté de se conformer aux recommandations de l'IETF.

Le navigateur Chrome sera le premier à refuser la prise en charge des anciennes versions de TLS. Les développeurs prévoient de démarrer le processus avec la version de Chrome 72, qui sortira en janvier 2019: désormais, pour les sites avec des protocoles obsolètes, un avertissement sera affiché dans la console DevTools. Un arrêt complet aura lieu dans la version Chrome 81, dont la sortie est prévue pour mars 2020 (versions préliminaires à partir de janvier 2020).

Microsoft promet de désactiver les protocoles "au premier semestre 2020". Mozilla a annoncé qu'il désactiverait TLS 1.0 et 1.1 dans Firefox en mars 2020. Apple prévoit de supprimer la prise en charge des navigateurs Safari en mars 2020.

Les communiqués de presse des développeurs de tous les principaux navigateurs sont sortis très coordonnés:

• Annonce du développeur Chrome
• Annonce Firefox
• Annonce Edge
• Annonce WebKit

Profil TLS 1.2 moderne

Selon la recommandation de l'IETF, la base cryptographique minimale pour les connexions HTTPS doit être TLS 1.2. Selon la télémétrie Firefox, il représente désormais 93,12% du trafic HTTPS ( 94% selon Qualys ), donc des recommandations de facto sont mises en œuvre aujourd'hui.


Utilisation des versions TLS pour toutes les connexions HTTPS dans Firefox Beta 62, données de télémétrie pour août-septembre 2018

TLS 1.2 est une condition préalable à HTTP / 2, qui améliore les performances du site . Mozilla recommande d'utiliser le profil TLS 1.2 moderne côté serveur s'il n'y a pas de besoins spécifiques. Le profil moderne offre un haut niveau de sécurité et comprend les paramètres suivants:

• Suites de chiffrement: ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHEC-E8-E12-ECHEE CEE -RSA-AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256
• Courbes elliptiques pour TLS: prime256v1, secp384r1, secp521r1
• Type de certificat: ECDSA
• Courbes elliptiques de certificat: prime256v1, secp384r1, secp521r1
• Signature du certificat: sha256WithRSAEncryption, ecdsa-with-SHA256, ecdsa-with-SHA384, ecdsa-with-SHA512
• Taille de clé RSA: 2048 (si aucun ECDSA)
• Taille du paramètre DH: Aucun (complètement désactivé)
• Taille du paramètre ECDH: 256
• HSTS: max-age = 15768000
• Changement de certificat: non

Les experts notent que peu d'autorités de certification prennent désormais en charge les signatures ECDSA, de sorte que les signatures RSA pour les certificats ECDSA sont autorisées dans les recommandations.

Le protocole d'échange de clés DHE est complètement supprimé de la suite de chiffrement car il est plus lent que ECDHE, et tous les clients modernes prennent en charge les courbes elliptiques.

L'algorithme de signature SHA1 est également complètement supprimé de l'ensemble: SHA384 pour AES256 et SHA256 pour AES128 sont utilisés à la place.

Cette configuration est prise en charge à partir des versions Firefox 27, Chrome 30, IE 11 sur Windows 7, Edge, Opera 17, Safari 9, Android 5.0 et Java 8. Si vous avez besoin de la prise en charge d'anciens navigateurs, les exigences pour la suite de chiffrement devront être réduites au niveau "moyen" , il est défini comme niveau par défaut. Ce n'est que dans le cas le plus extrême qu'il est conseillé de se pencher vers une suite de chiffrement rétrocompatible avec prise en charge de Windows XP / IE6.

Malheureusement, aujourd'hui, tous les fournisseurs ne se conforment pas aux recommandations pour une configuration sécurisée de TLS 1.2.

Le 24 septembre 2018, arXiv.org a publié une étude académique sur ce problème , menée par des chercheurs de l'Université Concordia à Montréal (Canada). Les auteurs ont analysé le comportement de 17 versions de 13 outils TLS de réseau de différentes classes (gratuit, open source, bas et haut niveau).



Les conclusions sont décevantes: presque tous les produits considérés étaient vulnérables:

Par exemple, il s'est avéré que WebTitan, UserGate et Comodo n'ont pas effectué de validation TLS. Comodo et Endian, par défaut, considèrent tous les certificats à vérifier, et Cacheguard accepte les certificats TLS auto-signés.

Trend Micro, McAfee et Cacheguard utilisent des paires de clés pré-générées (bien que la documentation McAfee indique le contraire). Quatre appareils - de UserGate, WebTitan, Microsoft et Comodo - acceptent leurs propres certificats pour le contenu fourni en externe. Les clés privées sont stockées sur l'appareil et peuvent être facilement extraites à l'aide d'autres vulnérabilités.

L'attaque BEAST autorise les cookies d'authentification pour les utilisateurs TLS de Microsoft, Cisco et TrendMicro, tandis que les clients Sophos, Cacheguard, OpenSense, Comodo et Endian acceptent les certificats RSA-512, pour lesquels les clés privées peuvent être facilement truquées pendant quatre heures.

L'avenir de TLS 1.3

En août 2018, l'IETF a approuvé la norme TLS 1.3 , qui a été décrite en détail sur Habré . Innovations clés dans la nouvelle version:

• nouveau protocole de prise de contact: le processus est deux fois plus rapide en raison de la combinaison de plusieurs étapes, le mécanisme de prise de contact est devenu plus sécurisé, car les développeurs ont supprimé tous les algorithmes qui n'utilisent pas les modes AEAD de cryptage de bloc;
• nouveau processus de génération de clés utilisant la fonction d'extraction et d'extension de la clé (HKDF) HMAC;
• Suppression des suites de chiffrement à l'aide de l'échange de clés RSA ou DH, du mode CBC et de SHA-1.

La version 1.3 de la version préliminaire prend désormais en charge Chrome et Firefox. Selon la télémétrie, le navigateur Firefox établit désormais plus de connexions sur TLS 1.3 que sur TLS 1.0 et 1.1.

Il est clair que la mise à jour de l'un des protocoles les plus importants affectera de nombreux sites et prendra beaucoup de temps, mais en conséquence, Internet deviendra plus sûr.

---