Cet article vous montrera comment désactiver SSL 3.0 et TLS 1.0 dans votre navigateur.
Introduction
Après le désagrément POODLE, Google et Chrome ont sécurisé leurs dernières versions de navigateur (Firefox 35, Chrome 40) en interdisant entièrement l'utilisation du protocole de cryptage SSL 3.0, car POODLE utilise ce protocole comme vecteur d'attaque. (Microsoft a publié divers correctifs et correctifs rapides pour Internet Explorer 11 et déclare qu'il désactivera complètement SSL 3.0 en avril 2015.)
La désactivation de SSL 3.0 est définitivement une bonne chose. Cependant, la révélation ultérieure que TLS 1.0 est aussi vulnérable semble les avoir pris au dépourvu. Dans cet article, nous allons vous montrer comment vous protéger en forçant votre navigateur à utiliser uniquement le plus sûr TLS 1.1 et TLS 1.2 protocoles.
NOTE: POODLE et autres exploits similaires fonctionnent lorsque le serveur et le navigateur se terminent par une connexion supposée sûre peuvent être amenés à utiliser un protocole obsolète. Si vous avez sécurisé votre navigateur pour utiliser uniquement TLS 1.1 / 1.2 mais le serveur du site Web repose toujours sur des protocoles plus anciens et non sécurisés, sachez que vous pouvez rencontrer des problèmes de connexion à ce site.
Comment désactiver SSL 3.0 et TLS 1.0 dans Internet Explorer
- Cliquez avec le bouton gauche sur l'icône d'engrenage:
- Sélectionnez «Options Internet» dans le menu déroulant:
- Cliquez sur l'onglet "Avancé", faites défiler vers le bas et désélectionnez "SSL 3.0" et "TLS 1.0 ".
- Cliquez sur «OK» pour accepter vos modifications, qui devraient prendre effet immédiatement. (Vous devrez peut-être actualiser votre navigateur.)
Comment désactiver SSL 3.0 et TLS 1.0 dans Firefox
- Dans la barre d'adresse, tapez «about: config» et appuyez sur Entrée.
- Dans le champ « Rechercher », saisissez « tls ». Recherchez et double-cliquez sur l'entrée « security.tls.version.min ».
- Définissez la valeur entière sur «2» pour forcer un protocole minimum de TLS 1.1 (saisir «3» forcerait TLS 1.2).
- Cette configuration affichera désormais la nouvelle valeur et prendra effet immédiatement (n'oubliez pas de vider votre cache).
Comment désactiver SSL 3.0 et TLS 1.0 dans Google Chrome
La science marche! Un énorme bout du chapeau (ou la pointe du chapeau massif) au commentateur Jean Gilles pour avoir souligné que l'utilisation chrome: // drapeaux / est le moyen le plus récent et le plus simple de définir la version minimale du protocole dans Chrome. Nous devons noter que Google bloque un avertissement rouge sur l'utilisation d'indicateurs - cependant, nos tests ont donné des résultats positifs.
Pour Chrome, qu'en est-il?:
chrome :/ / flags
Sous "SSL minimum /TLS version prise en charge. », passez de« Par défaut »à«TLS 1.1 ?.
Appuyez ensuite sur le bouton «Relancer maintenant» au bas de la page.
Merci encore, John!
Contrairement à IE et Firefox, Chrome peut uniquement être fait pour utiliser TLS 1.1 / 1.2 par un commutateur de ligne de commande - un argument ajouté à la chaîne qui déclenche le navigateur. Cela peut être mis en œuvre en configurant un raccourci comme nous vous le montrerons ci-dessous, mais notez que SEULEMENT démarrer Chrome à partir de ce raccourci empêchera l'utilisation de protocoles non sécurisés.
Pour créer un raccourci sécurisé:
- Faites un clic droit sur votre bureau et sélectionnez «Nouveau», puis «Raccourci».
- Dans le panneau "Créer un raccourci", accédez à l'emplacement de votre installation Chrome et sélectionnez l'icône Chrome. L'emplacement par défaut est:
C: Fichiers programme (x86) GoogleChromeApplicationchrome.exe
- Ajoutez le commutateur de ligne de commande suivant
--ssl-version-min=tls1.1
après l'emplacement de l'article (c'est-à-dire après la citation de fin) pour apparaître ainsi:"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --ssl-version-min=tls1.1
Assurez-vous et séparez l'interrupteur de l'emplacement avec un espace.
- Nommez le raccourci (SSL.com suggère de lui donner un nom unique qui vous rappellera que ce raccourci est sécurisé) et cliquez sur «Terminer».
- Encore une fois, le seul moyen d'être certain que votre session Chrome est sécurisée sera d'utiliser votre nouveau raccourci.
Lisez la suite pour en savoir plus sur:
- Foire aux questions sur SSL /TLS
- Clés, certificats et poignées de main
- SSL /TLS et navigation Web sécurisée
- Obtention d'un SSL /TLS Certificat