Firefox 2 et SSL 2

Le 30 octobre 2006 à 06h32 | Publié sous | 11 commentaires

firefoxEn testant la dernière nightly build de Flock, je me suis rendu compte que celui-ci ne supportait plus les versions de SSL inférieures à 3. Je trouve cela particulièrement stupide quand on voit le nombre de sites utilisant de vieux certificats SSL – comme des hébergeurs professionnels, d’autant que ceci concerne aussi les versions 2 et 3 de Firefox.

Le ticket 236933 ouvert chez Mozilla et intitulé Disable SSL2 and other weak ciphers explique les raisons de ce retrait :

Heya,

I would suggest to change the default security-settings … I have disabled the following myself:

SSLv2, all ciphers lower than 128 bit. And it would be even better yo disable md5 and only allow the others like sha-1, …

SSLv2 isn’t secure anymore since some time. SSLv3 and TLS are the only “secure” once to use these days as far as I know. It’s good mozilla includes them “MAYBE” for compatibility, but they shouldn’t be enabled as defaults …

I wouldn’t advise people who use their computer for internet-banking to enable SSLV2, … Ofcourse there are maybe easier ways to break get the necessary info, but disabling the things I mentionned above would help.

En cas de besoin pressant, réactiver SSL V2 reste toutefois possible :

Dans la barre d’adresse, tapez : about:config puis entree
Filtrez sur security.enable_ssl2
Mettez la valeur à true

Je ne sais évidemment pas ce qui est le plus stupide : toujours utiliser une vieille version pas sûre de SSL ou en désactiver et cacher le support. La discussion à ce sujet dans le bug sur le trop faible nombre de sites utilisant SSL V2 ne m’a pas vraiment convaincu. Désactiver le support des anciennes versions de SSL par défaut, en permettre la réactivation en cas de besoin d’une manière plus simple qu’en allant farfouiller dans le about:config, par exemple dans préférences -> avancé -> chiffrement comme c’était le cas autrefois, en l’accompagnant au besoin d’un message prévenant l’utilisateur des risques encourus m’aurait semblé beaucoup plus sensé.

Merci à Jeremy de #flock@irc.flock.com pour son aide.

  1. JS about 3 hours later:

    Ben c’est simple, l’utilisateur lambda qui a installé Firefox 2 parce que “c’est plus sur et parce que c’est mieux qu’IE” va vouloir aller à un moment sur un site qui utilise le SSL 2, il va voir que ca ne marche pas, il ne va pas savoir qu’il faut aller dans about:config (qui irait là dedans mis a part un geek qui veut changer son user agent ?) et du coup, il reviendra à IE qui lui n’a pas de soucis pour aller sur le site en question.

    Ca fera donc un utilisateur mécontent. On aura beau lui expliquer toutes les raisons du monde il n’en aura cure : il veut que ca marche, point barre.

  2. Frédéric de Villamil about 3 hours later:

    J-S : en même temps, les sites utilisant uniquement SSL V2 se font Dieu merci de plus en plus rares. Il a juste fallu que ça tombe sur moi, au bureau, un dimanche après midi, avec l’hébergeur d’un client.

  3. mat about 4 hours later:

    De mémoire, SSL2 est aussi désactivé dans IE7 pour grosso modo les mêmes raisons…

  4. mat about 4 hours later:

    Je viens d’ailleurs de retrouver l’url: http://blogs.msdn.com/ie/archive/2006/10/18/ssl-tls-amp-a-little-activex-how-ie7-strikes-a-balance-between-security-and-compatibility.aspx

    “we decided to keep SSL 2.0 disabled in IE7 to protect users from that threat. When we did hear of web servers running SSL 2.0, we contacted server administrators about upgrading to newer servers.”

    C’est aussi réactivable dans les options.

  5. palpatine about 5 hours later:

    C’est quelque chose qui a été décidé il y a plus de 6 mois, après une réunion (virtuelle, un chat quoi) sur une impulsion des développeurs de Konqueror, entre les développeurs responsables de IE, Opera, et Firefox (et Konqueror aussi, naturellement). Ce n’est pas plus mal : la meilleure façon de forcer à la conversion d’un machin devenu inefficace (à cause de la montée en puissance des cpu, qui permettent de casser “facilement” le codage, penser aux sites de paiements, ça ne donne pas envie), c’est tout simplement de rendre totalement incompatible. Méthode que l’on devrait appliquer plus souvent, à l’interprétation des CSS et pages html invalides par exemple (mais là, chuis sûr que les dev de IE serait pas d’accord, ça les obligeraient à bosser correctement…). C’est brutal, dictatorial, j’adore :p.

  6. Frédéric de Villamil about 8 hours later:

    Mat : n’ayant pas accès à des plates-formes disposant d’Internet Explorer, je ne peux pas tester cela. Peux tu me dire dans quelles conditions la réactivation est possible ?

    Palpatine : tout à fait d’accord avec toi, c’est juste qu’un dimanche après midi, à 17 heures, alors que je viens de passer le week-end à boucler un projet, et que je ne peux pas loader la base de données, et bien c’est particulièrement frustrant. Et je ne peux pas trop les pieoculthérapiser pour la forme.

  7. mat about 15 hours later:

    Donne moi un site en SSL2 :-)

  8. Nicolas Krebs 13 days later:

    « #flock@irc.flock.com »

    Qu’est-ce que c’est que ça ?

  9. Frédéric de Villamil 13 days later:

    Mat : c’est fait me semble-t-il :)

    Nicolas : un canal de discussion IRC écrit sous forme compressée. Cela signifie “le canal de discussion flock sur le serveur irc.flock.com”

  10. Nicolas Krebs 14 days later:

    D’où vient cette notation ? Pourquoi l’utiliser ?

  11. Nicolas Krebs 14 days later:

    D’où vient cette notation ? Pourquoi l’utiliser ?

Merci de vous exprimer dans un français correct. Les commentaires déplacés, injurieux et le spam seront supprimés.

Les trackbacks sont fermés pour cause de spam.