Use of deprecated TLS/SSL protocol version

Utilisation d'une Version de Protocole TLS/SSL Obsolète

Risk: medium

Description

Il existe six protocoles dans la famille SSL/TLS : SSL v2, SSL v3, TLS v1.0, TLS v1.1, TLS v1.2 et TLS v1.3 :

• SSL v2 est non sécurisé et ne doit pas être utilisé. Cette version du protocole peut attaquer les clés RSA et les sites portant le même nom à l'aide de l'attaque DROWN.
• SSL v3 est non sécurisé lorsqu'il est utilisé avec HTTP en raison de l'attaque POODLE sur SSLv3. Le protocole est considéré comme faible lorsqu'il est utilisé avec d'autres protocoles. Le protocole est obsolète et ne doit pas être utilisé.
• TLS v1.0 et TLS v1.1 sont des protocoles hérités qui subissent l'attaque BEAST. Bien que les implémentations modernes aient mis en place certaines atténuations, le protocole souffre toujours de faiblesses connues et a été rendu obsolète par PCI DSS et les navigateurs à partir de janvier 2020.
• TLS v1.2 et v1.3 ne sont pas connus pour présenter des problèmes de sécurité.

Recommandation

TLS v1.2 ou TLS v1.3 doit être le principal protocole pris en charge car cette version offre un chiffrement authentifié moderne.

Liens

• Obsolescence de TLSv1.0 et TLSv1.1
• Meilleures pratiques de déploiement SSL et TLS

Normes

• OWASP_ASVS_L1:
  • V9_1_3
• OWASP_ASVS_L2:
  • V9_1_3
• OWASP_ASVS_L3:
  • V9_1_3
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_4_2
  • REQ_6_4
  • REQ_11_3
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_7
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213
  • SECURITY255
  • SECURITY258