Le temps des émois est passé, vient celui des conseils réfléchis : le Sans, revient sur la présentation de MM Duong et Rizzo, qui rappelle le principe de l’attaque contre SSL 1.0 que ces deux chercheurs ont élaboré, et fournit une liste de conseils et d’avis destinés aux administrateurs anxieux. SSL n’est pas techniquement mort, la migration vers TLS 1.1 ou 1.2 doit être effectuée avec prudence, un déploiement hâtif risquant de provoquer plus de mal que de bien.
Sur le site Bugzilla, l’on peut trouver, outre une impressionnante collection de documents informatifs, la quasi-totalité des échanges entre l’équipe Duong-Rizzo et le team sécurité de Mozilla (Daniel Veditz, Adam Langley notamment).
Mais la synthèse la plus complète en la matière est celle de Thierry Zoller, qui a patiemment collecté tous les articles techniques gravitant autour de la naissance de la «bête ». Moins de trois pages-ecran, mais de la lecture pour une bonne journée au moins.
« SSL n’est pas techniquement mort, la migration vers TLS 1.1 ou 1.2 doit être effectuée avec prudence »
Ah la bonne blaque….
Encore faudrait-il qu’il existe ne fut-ce qu’un seul navigateur supportant TLS v1.1 ou v1.2.
Mais ce n’est le cas d’aucun browser à ce jour (10/10/2011).