Comprendre TLS 1.3

Comprenez comment TLS 1.3 améliore la sécurité et la latence par rapport aux versions précédentes de TLS.  Découvrez également comment activer TLS 1.3 pour votre domaine Cloudflare. 


Présentation

TLS 1.3 est la version la plus récente et la plus sécurisée du protocole TLS. Elle offre une meilleure latence que les versions précédentes et plusieurs nouvelles fonctionnalités.  TLS 1.3 est actuellement pris en charge par Chrome (à partir de la version 66) et Firefox (à partir de la version 60), et en cours de développement pour les navigateurs Safari et Edge.


Activer TLS 1.3

Activez TLS 1.3 (avec ou sans 0-RTT) dans la section TLS 1.3 de l’application SSL/TLS de Cloudflare.

0-RTT est une fonctionnalité qui optimise les performances des clients qui se sont déjà connectés à votre site Web. Elle autorise l’envoi de la première requête du client avant la confirmation de connexion TLS, réduisant ainsi les temps de connexion.

Il est possible qu’un pirate puisse rejouer la première requête envoyée avec 0-RTT. En conséquence, Cloudflare enverrait les mêmes requêtes plusieurs fois vers l’origine. Afin de vous aider à identifier une requête rejouée, Cloudflare inclut un nouvel en-tête nommé Early-Data sur toutes les requêtes qui ont été envoyées en 0-RTT. Dans ce cas, l’en-tête aurait une valeur de 1. Vous pouvez utiliser cet en-tête pour décider d’accepter ou non une requête particulière envoyée durant la phase de connexion 0-RTT.

Pour activer TLS 1.3 sur Chrome :

  1. Dans la barre d’adresse, saisissez chrome://flags et appuyez sur Entrée.
  2. Faites défiler pour localiser TLS 1.3 et définissez l’entrée sur Activé. Vous verrez un message vous indiquant que le changement prendra effet la prochaine fois que vous lancerez Chrome.
  3. Cliquez sur RELANCER MAINTENANT pour redémarrer Chrome.

Après avoir activé TLS 1.3, consultez un site avec TLS 1.3 activé en HTTPS. Ensuite :

  1. Ouvrez les Outils développeurs de Chrome.
  2. Cliquez sur l’onglet Sécurité.
  3. Actualisez la page (Cmd + R sous MAC OS, Ctrl + R sous Windows).
  4. Cliquez sur le site sous Origine principale.
  5. Vérifiez l’onglet droit sous Connexion pour confirmer que TLS 1.3 est défini comme le protocole (voir l’image ci-dessous).

tls1.3_chrome_dev_tools_security.png

Sur Firefox :

  1. Dans la barre d’adresse, entrez about:config et cliquez pour accepter l’avertissement de garantie.
  2. Recherchez security.tls.version.max et configurez les valeurs par défaut de 3 à 4.

Après avoir activé TLS 1.3, consultez un site avec TLS 1.3 activé en HTTPS. Ensuite :

  1. Cliquez sur l’icône de cadenas vert dans la barre d’adresse, puis >.
  2. Cliquez sur Plus d’informations.
  3. Sous Détails techniques, vérifiez que la version de TLS est TLS 1.3 (voir l’image ci-dessous).

tls1.3_firefox_more_info_security_ann.png

Les implémentations de TLS 1.3 sont relativement récentes, des problèmes pourraient survenir.  Si vous rencontrez des erreurs, veuillez soumettre un ticket au support de Cloudflare avec les informations suivantes :

  • Étapes pour reproduire le problème (le cas échéant)
  • Version du build client
  • Informations du diagnostic client
  • Captures des paquets

Les utilisateurs de Chrome doivent soumettre une trace net-internals vers Google. Les utilisateurs de Firefox doivent signaler les bogues à Mozilla


Ressources associées

You get TLS 1.3! You get TLS 1.3! Everyone gets TLS 1.3!

 

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk