Internet Explorer 7 fait l’impasse sur le SSL v2

Cloud

En abandonnant ce procédé vieillissant au profit du TLS v1 et du SSL v3, Microsoft compte renforcer la sécurité de son navigateur.

Microsoft vient de faire savoir, par l’intermédiaire de son weblog consacré à Internet Explorer (IE), que la prochaine version de son navigateur ne supporterait plus le SSL (Secure Socket Layer) v2 mais uniquement les technologies TLS (Transport Layer Security) v1 et SSL v3. Selon Eric Lawrence, développeur d’IE 7, le TLS v1 offre une sécurité renforcée par rapport au SSL v2.

Rappelons que le SSL est un procédé de sécurisation, mis au point notamment par Netscape, basé sur une liaison sécurisée par chiffrement. Il permet de protéger les transactions effectuées en ligne entre deux ordinateurs, par exemple lors d’un achat pour transmettre la commande et les coordonnées de paiement. Seule la version 2 du SSL a été publiquement diffusée à partir de 1994 (la première version n’ayant servi que pour les usages internes de Netscape). Le SSL v3 renforce le mode d’authentification entre le client et le serveur, notamment par l’intermédiaire d’échanges de certificats numériques contenant la clé de chiffrement du flux de données. Normalisé en 1999 par l’IETF (Internet Engineering Task Force), le TLS v1 propose quant à lui uniquement des améliorations mineures du SSL v3. Si les deux procédés sont à peu près équivalents en termes de niveau de sécurité, ils ne sont pas compatibles entre eux.

Transactions transparentes

IE7 ne supportera donc plus le SSL v2. Pour l’utilisateur, cela ne changera pas grand-chose dans la mesure où ce type de transaction reste relativement transparent (le procédé de sécurisation est indépendant du protocole de transport ou d’application). En revanche, pour les sites web qui s’appuient encore sur le SSL v2 pour sécuriser les transactions, l’usage d’IE7 risque d’être handicapant. Microsoft précise qu’en cas de navigation sur un site qui utilise le SSL v2, IE7 bloquera par défaut l’accès aux sites dont le certificat est périmé ou révoqué, dont le nom de domaine délivré par le certificat est différent de celui du site d’accueil, ou encore lorsque l’origine du certificat semble douteuse.

L’utilisateur pourra cependant forcer le navigateur à accéder au site malgré un certificat refusé. L’adresse de la page s’affichera alors sur un fond rouge afin de rappeler en permanence le risque qu’encourt l’internaute à naviguer sur un site non certifié par le navigateur. Un scénario qui a peu de chances de se produire, le SSL v3 étant aujourd’hui largement adopté, notamment par les sites marchands et les services bancaires en ligne.

Microsoft estime d’ailleurs que ses “recherches indiquent qu’il reste seulement une poignée de sites qui requièrent le SSL v2”. De plus, selon l’éditeur, l’adoption du SSL v3 ou du TLS v1 s’effectue par une simple modification de la configuration du serveur. Enfin, cette nouvelle approche sécuritaire sera renforcée par les améliorations apportées par Windows Vista autour du protocole HTTPS. Le futur Windows intègrera de nouveaux algorithmes de chiffrement dont l’Advanced Encryption Standard (AES) qui supporte les clés de chiffrement de 256 bits.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur