Quand sera la fin du support de TLS 1.0 et 1.1
La fin du support de TLS 1.0 et 1.1 date d’octobre 2018. En effet, en cette date Mozilla, Apple, Google et Microsoft ont annoncé leur décision d’arrêter le support de TLS (Transport Layer Security) 1.0 et 1.1 dans leurs navigateurs respectifs et ceci au cours du premier trimestre ou semestre 2020.
Ainsi, voici la décision émise par chacun :
- Google Chrome : https://security.googleblog.com/2018/10/modernizing-transport-security.html
- WebKit (Apple Safari) : https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/
- Microsoft : https://support.microsoft.com/en-us/help/4057306/preparing-for-tls-1-2-in-office-365
- Mozilla Firefox : https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/
Google par exemple procédera en deux étapes :
- La première étape prendra effet en janvier 2020 avec la sortie de Chrome 79. Avec cette version, seul un message « Votre connexion n’est pas totalement sécurisé » apparaîtra et un indicateur « non sécurisé » dans la barre d’adresse.
- La deuxième étape sera en Mars 2020 avec la sortie de la version Chrome 81. Cette fois-ci, le navigateur Google Chrome bloquera l’accès au serveur distant.
Cette décision vient après que l’IETF (Internet Engineering Task Force) qui est l’organisation qui élabore et promeut les normes Internet, a annoncé formellement en Septembre 2018 sa dépréciation des standards TLS 1.0 et 1.1.
Les raisons de cette décision
La fin du support de TLS 1.0 et 1.1 n’est pas une décision prise par hasard. TLS 1.0 a été créé en Janvier 1999. C’est donc en 2019 un standard qui est vieux de 20 ans.
Cependant, durant ces deux décennies, TLS 1.0 et 1.1 ont souffert de plusieurs vulnérabilités critiques :
- BEAST (CVE-2011-3389)
- CRIME (CVE-2012-4929)
- BREACH (CVE-2013-3587)
- POODLE (CVE-2014-8730)
- LogJam
- FREAK
- DROWN
- …
Voici une image qui illustre l’évolution de SSL / TLS de manière chronologique ainsi que la découverte de leurs multiples vulnérabilités.
Quelle solution adopter ?
Si vous utilisez l’une des deux premières versions de TLS (1.0 ou 1.1), vous devrez désactiver leur utilisation et spécifier la version TLS 1.2 au minimum.