TLS 1.0 fêtera son vingtième anniversaire le 19 janvier prochain. Avec l’adoption par l’IETF de TLS 1.3 cet été et 94% des sites sur TLS 1.2, la première version du protocole est obsolète et ne sera plus supportée sur Chrome, Firefox, Safari, Internet Explorer et Edge d’ici à mi-2020.
Le vénérable TLS 1.0, bientôt 20 ans au compteur, et son successeur direct TLS 1.1 , ne représentent plus qu'une infime portion des connexions. 0,5% des connexions HTTPS sur Chrome, 0,36% sur Safari, 1,2% sur Firefox ou encore 0,72% sur Edge. Alors qu’elle a finalisé le protocole 1.3 cet été et qu’elle recommande la mouture 1.2 depuis une décennie, l’IETF (Internet Engineering Task Force) planche sur l’abandon des deux vieux standards.
« Les produits devant prendre en charge les versions plus anciennes augmentent inutilement la surface d'attaque et augmentent les risques de mauvaise configuration. La prise en charge de ces versions plus anciennes nécessite également des efforts supplémentaires pour la maintenance de la bibliothèque et des produits » explique l’IETF dans son memo. TLS 1.0 et 1.1 ne renferment pas en soi de vulnérabilités « significatives », les deux protocoles reposent sur des standards surannés, à l’instar de SHA-1 et de MD5.
Legacy, quand tu nous tiens
C’est probablement dans le cadre des discussions menées par l’IETF que les quatre grand éditeurs de navigateurs ont décidé de coordonner leurs annonces respectives. Microsoft, Mozilla, Google et Apple ont tous pris la plume hier pour annoncer la fin du support de TLS 1.0 et 1.1 sur leurs navigateurs. Firefox, qui a déjà implémenté TLS 1.3, lâchera les deux anciens protocoles en mars 2020. Chrome, lui aussi compatible 1.3, sera le premier à les enterrer, dès janvier 2020.
Safari annonce mars 2020 pour la fin du support, quand Microsoft est plus vague en ce qui concerne Internet Explorer 11 et Edge, évoquant le premier semestre 2020. Ce qui laisse un peu plus d’un an aux serveurs web utilisant 1.0 ou 1 .1 pour se mettre à niveau. « Nous comprenons que la mise à niveau de quelque chose d'aussi fondamental que TLS peut prendre un certain temps. Ce changement affecte un grand nombre de sites. C’est pourquoi nous faisons cette annonce si longtemps à l’avance » explique Mozilla.
Lire à ce sujet notre article "Vers un internet plus sûr avec TLS 1.3" paru dans L'Informaticien n°168 et également proposé en ligne en rubrique Dossiers.
