vendredi 2 septembre 2005

Mozilla Firefox va abandonner le support de SSL 2.0

Des projets sont en cours pour retirer le support de SSL version 2.0 de Mozilla Firefox. SSL fournit des connexions chiffrées aux serveurs, les sécurisant pour transmettre des données telles que les numéros de carte de crédit et les coordonnées bancaires par Internet. Malheureusement, il y a un certain nombre de failles de sécurité connues dans SSL 2.0 qui a été la première version publique du protocole (aucune application n’a été diffusée avec le support de SSL 1.0). Donc, la fondation Mozilla est impatiente de désactiver le support de SSL 2.0 et utilise pour toutes les installations de Firefox uniquement les protocoles plus récents et plus sûrs SSL 3.0 et TLS 1.0.

On croit que très peu de sites sécurisés ne supportent que SSL 2.0 et la plupart des sites sécurisés supportent au moins SSL 3.0. En mai, Gervase Markham a demandé aux développeurs et aux contributeurs à l’assurance qualité de signaler tous les sites qui ne supportent que SSL 2.0 pour se faire une idée de leur nombre. Une liste des sites populaires a maintenant été dressée et Gerv demande maintenant des volontaires pour contacter les responsables des sites qui supportent uniquement SSL 2.0 et de les persuader d’adopter SSL 3.0 et/ou TLS 1.0.

Selon le billet de Gerv, il y a à peu près 2 000 sites qui ne supportent que SSL 2.0. Auparavant estimé à 10 000, ce chiffre a chuté après qu’un grand FAI a reconfiguré ses serveurs.

Netscape Communications Corporation a présenté SSL 2.0 avec le lancement de Netscape Navigator 1.0 en 1994. Netscape Navigator 2.0 comprenait le support de SSL 3.0 quand il a été sorti en 1996. Les spécifications de TLS 1.0, pour l’essentiel une version standardisée de SSL 3.0 avec quelques différences, ont été publiées en 1999.