Versions TLS 1.0 et TLS 1.1 officiellement déconseillées par l'IETF RFC 8996

TLS est un protocole de communication qui permet de chiffrer les données qui transitent entre le client et le serveur d'applications. Si une application ou un site Web est utilisé par le public, il y a de fortes chances qu'une version du protocole TLS soit de la partie. Plusieurs versions du protocole TLS ont été publiées par le passé, chaque version étant progressivement sécurisée par rapport à son prédécesseur. TLS 1.3 est la dernière version de la gamme TLS et offre une sécurité maximale. 

Il y a environ une semaine, l'Internet Engineering Task Force (IETF) a officiellement approuvé le Best Current Practice RFC 8996. Le RFC déconseille officiellement les anciennes versions TLS 1.0 et TLS 1.1 de la liste des protocoles SSL/TLS, pour le motif suivant :

« Ces versions ne prennent pas en charge les algorithmes et mécanismes cryptographiques actuels et recommandés, et divers profils gouvernementaux et industriels d'applications utilisant TLS obligent désormais à éviter ces anciennes versions de TLS. La version TLS 1.2 est devenue la version recommandée pour les protocoles de l'IETF en 2008 (remplacée par la version TLS 1.3 en 2018), laissant suffisamment de temps pour abandonner les anciennes versions. La suppression de la prise en charge des anciennes versions des implémentations réduit la surface d'attaque, les risques de mauvaise configuration et simplifie la maintenance des bibliothèques et des produits. »

Pour la plupart des entreprises qui ne sont pas d'ores et déjà contraintes d'utiliser la version TLS 1.2 ou une version ultérieure, nous vous recommandons de l'utiliser. Une bonne pratique consiste désormais à passer à la version TLS 1.2 ou TLS 1.3 pour assurer une sécurité maximale des transactions qui ont lieu sur vos applications Web, mobiles ou par API. 

Passons aux détails.

Le draft du RFC a été intitulé « draft-moriarty-tls-oldversions-diediedie », ce qui ne manque pas de créativité. Nous approuvons.

En février dernier, nous avions publié notre Threat Spotlight – attaques d'applications web d'après les données de notre trafic Barracuda WAF-as-a-Service. Nous y avions relevé quelques tendances intéressantes : –

• Près de 92 % de l'ensemble du trafic était chiffré HTTPS.


• Près de 65 % du trafic HTTPS utilisait le protocole TLS 1.3.


• Environ 30 % de l'ensemble du trafic HTTPS utilisait le protocole TLS 1.2.


• Environ 5 % ou moins du trafic HTTPS utilisait la version TLS 1.1 ou inférieure.

Une situation plutôt plaisante pour les transmissions sécurisées de nos clients !

S'il est une information intéressante que nous fournissent ces données (hormis le fait que nous nous attendions à des chiffres beaucoup plus bas pour la version TLS 1.3, c'est que la plupart des navigateurs modernes prennent en charge et préfèrent cette version, ce qui a facilité le passage à son utilisation. Contrairement aux dires d'oiseaux de mauvaise augure, cette transition s'est faite de façon assez fluide. même les robots semblent préférer la version TLS 1.2 à ses versions antérieures, notamment parce que le système d'exploitation sous-jacent le prend en charge. Les mises à jour automatiques du navigateur jouent un rôle clé.

La seule entrave à ce changement est l'application à proprement parler. Qu'il s'agisse d'anciennes applications qui ne peuvent pas aller au-delà de SSLv3.0 ou d'applications dépendant d'anciennes versions du système d'exploitation qui ne prennent pas en charge les dernières versions TLS, ces applications sont généralement mal sécurisées en raison du temps et des efforts nécessaires pour les mettre à niveau. C'est loin d'être insurmontable si vous utilisez la solution Barracuda WAF-as-a-Service. Toute application peut être intégrée et protégée par le WAF-as-a-Service en quelques minutes. La meilleure partie de cette protection est que le WAF-as-a-Service fournit ensuite un front-end HTTPS sécurisé pour l'application, communiquant avec les navigateurs et les applications avec les dernières versions TLS sécurisées. Il convertit ensuite cette version dans l'ancienne, utilisée par votre application, et transmet le trafic au back-end d'une manière que ce dernier comprend. Il automatise même le processus de création de certificats en s'intégrant à l'autorité de certification Let's Encrypt pour obtenir des certificats HTTPS gratuits. Ce faisant, le WaaS supprime une grande partie de la complexité et la remplace par la sécurité.

Pour un essai gratuit de 30 jours, rendez-vous sur notre site Web. Pour une analyse gratuite de la vulnérabilité de votre site Web, consultez le Barracuda Vulnerability Manager.