Mise à niveau majeure des protocoles de sécurité (TLS 1.2, SHA512, AES)

06 avril 2020 Par Posté dans Infos Produits
Suite Produit : Newtest
Version : 4.2
Disponibilité : Eté 2020
 
Après une décennie sans aucune évolution, les protocoles de cryptage du Web ont connu une petite révolution cette année avec la fin de vie annoncée de TLS 1.1.

 
 

La révolution TLS 1.2 !

TLS est le protocole de cryptage utilisé dans tous les échanges HTTP/S des navigateurs. C’est aussi le protocole utilisé pour la communication inter services par exemple entre deux programmes sur un même serveur Windows ou Linux. Autant dire qu’il est utilisé à chaque opération informatique que ce soit dans les transactions en entreprise ou dans les échanges sur Internet.
La fin de support simultanée de TLS 1.0 et TLS 1.1 en 2020 oblige les logiciels à adopter la « nouvelle norme » 1.2 pour tous les échanges cryptés sans aucune possibilité de « plan B ».

 

SSL and TLS protocols

TLS 1
 

Newtest se conforme aux exigences de TLS 1.2

Newtest fonctionne désormais avec des échanges TLS 1.2 natifs. Ce changement sera effectif par défaut sur la version NEP 4.2 disponible cet été. Si vous souhaitez mettre votre serveur NEP en conformité avant cette date, l’équipe Newtest met à votre disposition un patch manuel permettant le remplacement des librairies TLS 1.1 par leurs équivalents en TLS 1.2.

 

Newtest en profite et renforce ses librairies de cryptage

Dans le cadre de sa mission de surveillance des applications, la solution Newtest est amenée à utiliser des données privilégiées au même titre qu’un utilisateur légitime de l’application à tester. En particulier, Newtest utilise la plupart du temps des comptes d’accès (log/pass) aux différentes applications à tester.
Pour se conformer aux dernières exigences en matière de sécurité, Newtest renforce ses algorithmes de cryptage. Les mots de passe d’accès aux applications à tester sont désormais encodés avec un algorithme de type AES. Les mots de passe d’accès aux modules NMC et NRS sont pour leur part encodés avec un algorithme de type SHA512. Avec la version 4.2, Newtest abandonne donc définitivement le protocole 3DES utilisé précédemment et reconnu comme peu sécurisé.

 

A quand le passage en TLS 1.3 ?

Tout va dépendre des technologies choisies ! La norme TLS 1.3 a été adoptée en 2018 mais son adoption est encore inégale selon les éditeurs logiciels.
Côté navigateurs web, c’est l’unanimité ! La norme est aujourd’hui supportée par tous les navigateurs majeurs du marché. Mais le navigateur n’est que la moitié de la solution et côté des serveurs web, c’est du 50/50.

TLS 2
Les serveurs Web sous Linux peuvent en profiter à condition qu’ils implémentent la dernière version d’Open SSL (1.1.1) également disponible depuis fin 2018. En revanche, pour les serveurs web sous Windows, TLS 1.2 reste la norme.
Pour les applications d’entreprise basées sur la plateforme de Microsoft, il va falloir attendre un peu ! Microsoft Server 2019 ne supporte pas TLS 1.3 (seulement en test hors production). SQL Server 2019 n’est pas plus avancé et ne supporte pas non plus la dernière norme.

 

Références :
https://en.wikipedia.org/wiki/Transport_Layer_Security
https://caniuse.com/#search=TLS%201.3
https://devblogs.microsoft.com/premier-developer/microsoft-tls-1-3-support-reference/

Laisser un commentaire

Votre adresse email ne sera pas publié