En tant qu'utilisateur final, quel risque y a-t-il à naviguer sur un site Web public qui utilise TLSv1?
Est-il sûr pour un utilisateur final de parcourir un site Web qui ne prend en charge que TLSv1 (ou d'autres chiffrements ou protocoles non sécurisés), compte tenu des éléments suivants:
- c'est un site Web accessible au public sans données sensibles ou privées
- il ne nécessite pas de connexion utilisateur, d'informations d'identification ou d'autres données utilisateur que ce soit.
Par conséquent, à toutes fins utiles, supposez que le site Web est destiné à être un http:// site, mais avec un certificat SSL installé qui n'est pas à jour par rapport aux normes de sécurité modernes.
Et par sécurité, je veux dire qu'ils ne sont pas ouverts à un certain type d'exploit, autre que MITM bien sûr. Par exploiter ici, je veux dire qu'il n'y a aucun moyen d'utiliser un mauvais certificat SSL pour installer des logiciels malveillants sur leur machine, n'est-ce pas?
Il n'y a actuellement aucun risque réel basé uniquement sur la version du protocole TLS pour l'utilisateur final lors de la visite d'un site qui ne fournit que TLS 1.0 (TLSv1) avec un navigateur moderne, c'est-à-dire une version actuelle des navigateurs basés sur Chrome, Firefox, Edge ou au chrome comme Opera . Heureusement, les fournisseurs de navigateurs d'aujourd'hui se soucient réellement de la sécurité et si TLS 1.0 était trop peu sûr, il serait désactivé ou limité à certains sites figurant sur la liste blanche ou uniquement pour une utilisation avec certains chiffres.
D'un autre côté: si un site n'offre toujours que TLS 1.0, vous vous demandez peut-être quelle est leur relation avec la sécurité en général. Bien qu'il puisse y avoir certains sites qui ne prennent en charge que TLS 1.0, il est plus probable qu'ils utilisent d'anciens systèmes ou configurations qui ne sont pas encore en mesure de prendre en charge TLS 1.2. Étant donné que la pile SSL côté serveur la plus couramment utilisée OpenSSL prend en charge TLS 1.2 depuis la version 1.0.1 publiée en 2012 et que même OpenSSL 1.0.1 n'est plus pris en charge depuis un certain temps, il est peu probable que les propriétaires du site ne se soucient pas vraiment de la sécurité et du fait que le reste de leur infrastructure est également obsolète. Et cela devrait vous inquiéter, pas l'utilisation de TLS 1.0 en elle-même.
En tant qu'utilisateur final, probablement rien. Le stade même où vous vous trouvez dans la séquence de communication d'une transaction TLS fait que vous n'êtes pas vraiment vulnérable à autre chose que MITM.
La plupart des vulnérabilités découvertes découvertes sur le protocole et son implémentation elle-même, en revanche, peuvent avoir un impact sur le serveur responsable de son hébergement. Même dans ce cas, TLSv1 n'est pas aussi problématique que son frère aîné, SSL.
Si jamais nous atteignons RCE sur la phase de communication SSL/TLS, nous sommes dans de sérieux problèmes.