SSL est-il en train de mourir? Dois-je acheter des certificats SSL pour mes sites?
Je prévois d'acheter un certificat SSL pour l'un de mes sites lorsque je m'inquiète des points soulevés dans ces articles:
- WiredTree: le problème le plus important avec SSL - et comment le résoudre
- TechRepublic: la vulnérabilité POODLE accélère la mort de SSL 3.0
- Île Infosec: IPv6 - La mort de SSL
- Ce POODLE mord: exploiter la solution de secours SSL 3.0
SSL est-il plus sécurisé? De quoi parlent-ils? Je pensais que SSL était à l'épreuve des balles, mais maintenant je suis confus.
Si SSL n'est plus sécurisé, en ce qui concerne la sauvegarde des informations échangées entre mes clients et mon serveur via HTTP, quelles sont mes options autres qu'un certificat SSL?
Tous sauf le troisième lien se réfèrent à SSLv3 (version 3) qui est affecté par la vulnérabilité du caniche. Vous devez utiliser le protocole TLS qui est le successeur de SSL et non affecté. Vous devez configurer votre serveur Web pour qu'il prenne en charge TLS 1.0, 1.1 et 1.2, ce qui devrait couvrir la plupart des appareils, sauf quelques-uns archaïques comme IE6.0, tout en restant sécurisé. Le certificat utilisé pour les deux protocoles est le même.
La plupart des sites Web de médias de masse se réfèrent à TLS/SSL comme simplement SSL. Ce sont en fait deux protocoles distincts.
Plus d'informations ici: Quelle est la différence entre SSL, TLS et HTTPS?
Quant au troisième lien, il fait référence au SSL de substitution IPv6. Mon opinion est qu'il faudra au moins quelques années de plus pour qu'IPv6 devienne le schéma d'adressage de facto. En attendant, un certificat SSL sécurisera votre site. Après tout, vous pouvez acheter un certificat pour une durée de 1 à 2 ans si vous craignez qu'il ne devienne obsolète dans un proche avenir.
Vous rencontrez un peu de confusion terminologique. SSL peut signifier deux choses:
protocole Secure Sockets Layer , versions 1, 2 ou 3.
La famille générique SSL/TLS de protocoles de sécurité.
La définition SSL 1 est complètement obsolète et ne doit pas être utilisée. La définition SSL 2 est toujours bien vivante, avec les bons éléments de la définition SSL 1 (comme une grande partie du mécanisme de certificat) incorporés dans les normes TLS modernes.
Mis à part les autres bonnes réponses concernant la confusion SSL vs TLS vs certificat, la question de savoir si vous devez continuer à "acheter" un certificat SSL peut être influencée par le lancement prochain de Let's Encrypt (sponsorisé par le EFF, Mozilla, et al), qui commencera à offrir des certificats SSL gratuits et clés en main en 2015.
Sauf si vous avez besoin d'un certificat de fantaisie (EV, caractère générique, etc., que Let's Encrypt ne sera pas nécessairement en mesure de fournir), vous pourrez utiliser leurs certificats sur votre site sans avoir à payer un centime.
Bien qu'il existe déjà d'autres autorités de certification qui offrent des certificats gratuits (Startcom étant l'un des exemples les plus connus), je pense que Let's Encrypt sera le premier acteur majeur à étendre également une offre gratuite à des sites commerciaux.
Île Infosec: IPv6 - La mort de SSL
L'article parle de l'utilisation d'IPSec en tant que partie intégrante d'IPv6 au lieu de SSL/TLS. IPSec déplace principalement le chiffrement de la couche application vers la couche transport.
Mais, le principal problème avec SSL/TLS ne sont pas des défauts dans le protocole ou dans le code cryptographique. Au lieu de cela, le principal problème est l'ICP, c'est-à-dire l'utilisation appropriée des certificats et de l'AC pour établir et propager la confiance et ainsi fournir une authentification fiable. IPSec n'a aucune amélioration dans ce domaine. Même si IPSec sera utilisé partout, il utilisera probablement la même PKI cassée que nous utilisons déjà avec SSL/TLS. Et des certificats sont nécessaires dans les deux cas.