Dernières tendances sur les certificats SSL/TLS et mise au point pour l’été

Nombre d'entre vous vont bientôt partir en vacances et s’imaginent déjà avec un mojito sur la plage et la pile de bouquins qu’ils n’ont pas eu le temps de lire. Mais avant d’en profiter, faites en sorte de protéger vos systèmes.

Pour vous aider à vous préparer à l’avance cette année, j’ai élaboré une check-list sur la sécurité que vous pourrez parcourir avant votre départ. J’ai également établi une autre liste avec les dernières modifications effectuées par les navigateurs, quelques-unes des tendances publiées dans le dernier rapport Netcraft et les vulnérabilités informatiques les plus récentes.

Check-list de mise au point des certificats SSL/TLS pour l’été

• Identifiez vos certificats arrivant à expiration
• Assurez-vous que tous les chiffrements, configurations de serveurs et algorithmes de hachage des certificats soient à jour et sécurisés. Utilisez notre outil de vérification des serveurs SSL.
• Vérifiez que tout le personnel que vous laissez derrière vous ait reçu une formation et un plan clair d'intervention sur incidents.
• Soyez au fait des vulnérabilités de votre réseau et préparez une feuille de route pour aider votre service informatique à les éliminer dès que possible.

Coût des certificats expirés

La première chose à faire avant de partir pour une longue période, et celle que l’on oublie sans doute le plus facilement, c’est de vérifier les certificats TLS à renouveler. Si vous n’utilisez pas d’API ou un autre système de provisionnement automatique, vos certificats TLS ne se renouvelleront pas automatiquement. Comme leur date d'expiration est définie, si vous n'êtes pas là pour les renouveler, les visiteurs de votre site web ne pourront plus accéder aux pages sécurisées de votre site.

Comme ceci se produit fréquemment, je voudrais simplement vous rappeler les conséquences de l’expiration d’un certificat, à savoir l’impossibilité pour les utilisateurs d’accéder de façon sécurisée à votre site.

Et lorsque vos utilisateurs ne peuvent plus se connecter en toute sécurité à votre site, ceci entraîne :

• Une baisse de confiance
• Une baisse des ventes et du chiffre d’affaire à cause des paniers d’achats abandonnés
• Un risque d'effets néfastes sur votre marque et votre réputation.

Mises à niveau des certificats SHA-1

Si ce n’est pas déjà fait, il est temps de mettre votre certificat à niveau et de passer à l'algorithme de hachage SHA-256. Les AC ne sont plus autorisées à émettre des certificats TLS avec l’algorithme de chiffrement SHA-1. Par conséquent, lors de leur renouvellement, vous serez tenu de migrer vers SHA-2. Il est préférable d’anticiper cette situation parce que certaines applications, qui sont déjà en place et se connectent à ce serveur, peuvent ne pas prendre en charge les certificats avec SHA-2. Cette approche vous permettra donc de disposer d’un peu de temps pour résoudre le problème avant que les certificats SHA-1 n’expirent. Pour en savoir plus, consultez notre article « SHA-256 compatibility ».

Les navigateurs continuent à déprécier l’expérience utilisateur lorsqu’un site utilise un certificat SHA-1. Ils présentent un verrou avec une croix rouge, voire aucun verrou, pour indiquer que le site n’est pas sécurisé. De plus, si le certificat SHA-1 expire en 2017 ou au-delà, vous serez invité à cliquer sur les pages d’avertissement avant d’accéder au site. Ces modifications de l’expérience utilisateur se succèdent les unes après les autres et sont ajoutées à un nombre grandissant de versions de navigateur. Ainsi,  Microsoft envisage de déprécier l’expérience utilisateur avec SHA-1 pour les navigateurs Edge et IE11 en juillet. Par conséquent, nous vous recommandons de migrer vers SHA-2 dès maintenant pour éviter une baisse du trafic sur votre site.

Estampillage OCSP

Vous pouvez améliorer l’expérience pour vos visiteurs en implémentant l’estampillage OCSP, qui est pris en charge par la plupart des serveurs web. Il permet au serveur de fournir une réponse OCSP au navigateur dans la session TLS, sans envoyer de requête au serveur OCSP de l’AC. L’élimination de cette étape supplémentaire accélère la négociation TLS, ce qui contribue à améliorer la performance du site.

Mise à jour de la configuration de vos serveurs

Maintenant que tout est prêt pour vos vacances d’été, pensez à vous tenir informé des dernières annonces. Bien évidemment, toutes ces tendances ne doivent pas interrompre vos vacances. Mais il vaut mieux être vigilant et vous assurer que votre équipe informatique en soit informée, si jamais certains ajustements de la configuration de vos serveurs s’avéraient nécessaires.
Pour vérifier les configurations de serveurs, consultez notre outil de tests des serveurs SSL.

Vulnérabilités OpenSSL

OpenSSL reste vulnérable aux nouvelles attaques, notamment à celles de type « padding oracle » ou aux corruptions de zone de mémoire dans l’encodeur ASN.1. Dans ces fait marquants de juin 2016, Netcraft laisse entendre que cette dernière vulnérabilité « est exploitable dans un nombre limité de cas seulement », alors que l’attaque « padding oracle » est largement exploitable. Par conséquent, si vous ne disposez pas d’un processus rationalisé pour installer des correctifs sur OpenSSL, c’est le moment d’en mettre un en place afin de rester à jour et de réagir rapidement face aux futures vulnérabilités.

Google cesse de prendre en charge les protocoles SPDY et NPN

Google ne cesse d’actualiser sa plateforme afin de promouvoir la sécurité sur Internet. Il y a donc une ou deux mises à jour récentes qu’il est bon de connaître.

• SPDY est un protocole réseau qui gère le trafic HTTP de façon à accélérer le chargement des pages web et à renforcer la sécurité sur Internet. Mais Google a abandonné SPDY au profit de HTTP/2.

• NPN est l’extension TLS qui a négocié le protocole SPDY à utiliser dans HTTP2 Cette extension a été remplacée par l’ALPN en juillet 2014 et elle est complètement dépréciée lorsqu’elle est utilisée avec SPDY.

Si vous ne procédez pas aux mises à jour nécessaires, le temps de chargement des pages pour vos utilisateurs risque d’être plus long.

Google abandonne SSLv3 et RC4

Pas besoin d’en dire plus. Ces deux chiffrements sont dépassés et doivent être éliminés de la configuration de vos serveurs. Identifiez tout ce qui peut encore les utiliser, comme les systèmes se servant d’un relais SMTP ou les expéditeurs tiers de courrier électronique, et veillez à mettre à jour ces derniers avant de modifier la configuration de vos serveurs. Vous pouvez d’ailleurs le faire à l’aide du test de serveurs SSL.

Autres points à surveiller

Bien que ceci ne soit pas votre priorité quand vous partez en vacances, il est important de vous tenir informé des dernières nouvelles. Voici les principaux sujets abordés au cours du  meeting du CA/B Forum du 9 juin 2016.

1. Une nouvelle actualisation de l’interface utilisateur de Chrome 52-53 est prévue. Ceci l'harmonisera avec d'autres propriétés de Google et modifiera l’affichage du cadenas.
2. Chrome Keygen, désactivé par défaut depuis l'émergence de Chrome 49, va bientôt disparaître.
3. Microsoft a introduit les deux nouvelles propriétés ci-dessous afin de résoudre les problèmes de révocation de racine avec Windows 10 et les systèmes d’exploitation de version ultérieure.

• Désactiver la date : quand une date est définie pour une racine spécifique, tous les nouveaux objets signés avec le format Authenticode échouent et tous ceux avec un horodatage antérieur continuent à fonctionner.

• Désactiver l’extension Utilisation de clé étendue (EKU) : lorsque cette fonction est définie pour une racine, aucune EKU identifiée ne sera considérée comme une EKU de confiance. Si, par exemple, cette propriété est définie pour  une authentification du serveur, aucun des certificats SSL ne sera reconnu comme un certificat de confiance.

4. Révocation des certificats racines dans Mozilla : les certificats racines sont désormais suivis dans Salesforce et les données publiques. Tout le monde doit donc être en mesure de les trouver.

5. Google Chrome a annoncé récemment que sa politique de transparence des certificats à validation étendue (EV) s'appliquerait désormais à tous les types de certificats. Les certificats à validation étendue qui ne suivent pas les recommandations ne seront pas accompagnés de la barre verte dans le navigateur. Mais nous ne savons pas comment Google Chrome présentera les autres types de certificats non conformes.

En résumé, prenez un peu temps dès maintenant pour élaborer vos plans pour les vacances et l’automne. Puis profitez de votre été en toute sécurité et d’une rentrée moins mouvementée !