SSL/TLS : état des lieux et tendances
Ces derniers mois, le protocole SSL et ses implémentations ont été sous le feu de la rampe avec les découvertes de vulnérabilités comme Winshock, Poodle ou heartbleed. Nombre d’organisations ont dû prendre des mesures en urgence pour patcher leurs systèmes et leurs applications.
Lorsqu'on regarde les derniers chiffres du SSL Pulse, seuls 30% des sites Web sont sécurisés en HTTPS. Ce qui est intéressant de constater est que 16% des sites échantillonnés utilisent encore SSLv2 alors que ce protocole est connu pour être cassé depuis des années.
Depuis la découverte de la faille Poodle mi-octobre et les recommandations de désactiver SSLv3, l’utilisation de SSL v3, coté serveurs web, est tombée de 98% à 60%.
Avec la prolifération des objets connectés et l’avènement de l’internet of Everything (IoE), le besoin d’interconnecter les personnes, les données et les objets de façon sécurisée va devenir croissant.
Depuis les révélations Snowden, le chiffrement des communications se généralise, poussé par Google et consors, les entreprises qui demandent un renforcement des protocoles afin de garantir la PFS (Perfect Forward Secrecy) et l’IETF qui travaille sur HTTP/2 et le TLS 1.3 avec le remplacement des suites RSA par ECC pour les échanges de clés.
Même si le futur standard http/2 n’impose pas l’utilisation de connexion chiffrée, Google et Mozilla ont annoncé que leurs navigateurs web ne supporteront HTTP/2 qu’avec TLS. Microsoft, dans la technical preview de Windows 10, annonce aussi qu’IE et IIS ne supportent http/2 que sur TLS.
Face à cette déferlante du tout chiffré en TLS, il est clair que bon nombre d’applications Web vont avoir besoin d’être revues et réadaptées pour:
- répondre aux exigences de sécurité afin d’éviter les compromissions et de garantir la confidentialité persistante (PFS)
- se préparer à cette transition vers les nouveaux protocoles Web.
Une des options est bien sûr de réécrire chaque application (et de muscler au passage le serveur web pour traiter le flux TLS) ou alors mettre un F5 BIG-IP devant l’application pour fournir ces services d’adaptation protocolaires (F5 BIG-IP est le premier Application Delivery Controller supportant http/2), de terminaison et d’accélération SSL/TLS à base d’ECC (Elliptic Curve Crypto).
J’aborderai dans les prochains articles, les nouveautés autour de SSL/TLS dans la version 11.6 de TMOS.