SSLv3 a officiellement disparu

L’Internet Engineering Task Force a décidé d’éliminer définitivement l’ancien protocole SSLv3 en publiant un nouvel RFC. Cela fait longtemps que SSLv3 n’est plus considéré comme sûr, mais son utilisation généralisée a permis des attaques comme BEAST et POODLE.

De grands éditeurs comme Microsoft, Google et Mozilla ont adopté, de leur propre initiative, des mesures pour éliminer ce protocole dans leurs produits et la norme RFC 7568 impose désormais l’élimination généralisée de ce protocole. L’IETF avait déjà évoqué en mai son intention de se débarrasser de SSLv3. L’organisation invitait dans RFC 7525, le guide actualisé des pratiques recommandées, à abandonner l’ouverture de session via les protocoles TLS 1, TLS 1.1, SSLv2 et SSLv3.

« Dans la pratique, les clients NE DOIVENT PAS envoyer ClientHello avec ClientHello.client_version défini sur {03,00}. De la même manière, les serveurs NE DOIVENT PAS envoyer ServerHello avec ServerHello.server_version défini sur {03,00}. N’importe quelle partie qui reçoit un message Hello avec une version du protocole définie comme {03,00} DOIT renvoyer un avertissement « protocol_version » et fermer la connexion » peut-on lire dans la nouvelle norme RFC 7568/

Ce document, rédigé par Richard Barnes et Martin Thomson de Mozilla, Alfredo Pironti de chez INRIA et Adam Langley de chez Google, décrit également tous les problèmes du protocole identifiés au cours de ces 20 années d’utilisation.

Source: The Register

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *