Le Rayon UX

La radiographie du Web en temps presque réel / thème en chantier (je m'appelle Teuse)

Firefox 2 et SSL 2

firefoxEn testant la dernière nightly build de Flock, je me suis rendu compte que celui-ci ne supportait plus les versions de SSL inférieures à 3. Je trouve cela particulièrement stupide quand on voit le nombre de sites utilisant de vieux certificats SSL – comme des hébergeurs professionnels, d’autant que ceci concerne aussi les versions 2 et 3 de Firefox.

Le ticket 236933 ouvert chez Mozilla et intitulé Disable SSL2 and other weak ciphers explique les raisons de ce retrait :

Heya,

I would suggest to change the default security-settings … I have disabled the following myself:

SSLv2, all ciphers lower than 128 bit. And it would be even better yo disable md5 and only allow the others like sha-1, …

SSLv2 isn’t secure anymore since some time. SSLv3 and TLS are the only “secure” once to use these days as far as I know. It’s good mozilla includes them “MAYBE” for compatibility, but they shouldn’t be enabled as defaults …

I wouldn’t advise people who use their computer for internet-banking to enable SSLV2, … Ofcourse there are maybe easier ways to break get the necessary info, but disabling the things I mentionned above would help.

En cas de besoin pressant, réactiver SSL V2 reste toutefois possible :

Dans la barre d’adresse, tapez : about:config puis entree
Filtrez sur security.enable_ssl2
Mettez la valeur à true

Je ne sais évidemment pas ce qui est le plus stupide : toujours utiliser une vieille version pas sûre de SSL ou en désactiver et cacher le support. La discussion à ce sujet dans le bug sur le trop faible nombre de sites utilisant SSL V2 ne m’a pas vraiment convaincu. Désactiver le support des anciennes versions de SSL par défaut, en permettre la réactivation en cas de besoin d’une manière plus simple qu’en allant farfouiller dans le about:config, par exemple dans préférences -> avancé -> chiffrement comme c’était le cas autrefois, en l’accompagnant au besoin d’un message prévenant l’utilisateur des risques encourus m’aurait semblé beaucoup plus sensé.

Merci à Jeremy de #flock@irc.flock.com pour son aide.

  • Par JS 30/10/2006 at 09h47

    Ben c’est simple, l’utilisateur lambda qui a installé Firefox 2 parce que “c’est plus sur et parce que c’est mieux qu’IE” va vouloir aller à un moment sur un site qui utilise le SSL 2, il va voir que ca ne marche pas, il ne va pas savoir qu’il faut aller dans about:config (qui irait là dedans mis a part un geek qui veut changer son user agent ?) et du coup, il reviendra à IE qui lui n’a pas de soucis pour aller sur le site en question.

    Ca fera donc un utilisateur mécontent. On aura beau lui expliquer toutes les raisons du monde il n’en aura cure : il veut que ca marche, point barre.

  • Par Frédéric de Villamil 30/10/2006 at 09h59

    J-S : en même temps, les sites utilisant uniquement SSL V2 se font Dieu merci de plus en plus rares. Il a juste fallu que ça tombe sur moi, au bureau, un dimanche après midi, avec l’hébergeur d’un client.

  • Par mat 30/10/2006 at 10h28

    De mémoire, SSL2 est aussi désactivé dans IE7 pour grosso modo les mêmes raisons…

  • Par mat 30/10/2006 at 10h29

    Je viens d’ailleurs de retrouver l’url: http://blogs.msdn.com/ie/archive/2006/10/18/ssl-tls-amp-a-little-activex-how-ie7-strikes-a-balance-between-security-and-compatibility.aspx

    “we decided to keep SSL 2.0 disabled in IE7 to protect users from that threat. When we did hear of web servers running SSL 2.0, we contacted server administrators about upgrading to newer servers.”

    C’est aussi réactivable dans les options.

  • Par palpatine 30/10/2006 at 11h21

    C’est quelque chose qui a été décidé il y a plus de 6 mois, après une réunion (virtuelle, un chat quoi) sur une impulsion des développeurs de Konqueror, entre les développeurs responsables de IE, Opera, et Firefox (et Konqueror aussi, naturellement). Ce n’est pas plus mal : la meilleure façon de forcer à la conversion d’un machin devenu inefficace (à cause de la montée en puissance des cpu, qui permettent de casser “facilement” le codage, penser aux sites de paiements, ça ne donne pas envie), c’est tout simplement de rendre totalement incompatible. Méthode que l’on devrait appliquer plus souvent, à l’interprétation des CSS et pages html invalides par exemple (mais là, chuis sûr que les dev de IE serait pas d’accord, ça les obligeraient à bosser correctement…). C’est brutal, dictatorial, j’adore :p.

  • Par Frédéric de Villamil 30/10/2006 at 14h54

    Mat : n’ayant pas accès à des plates-formes disposant d’Internet Explorer, je ne peux pas tester cela. Peux tu me dire dans quelles conditions la réactivation est possible ?

    Palpatine : tout à fait d’accord avec toi, c’est juste qu’un dimanche après midi, à 17 heures, alors que je viens de passer le week-end à boucler un projet, et que je ne peux pas loader la base de données, et bien c’est particulièrement frustrant. Et je ne peux pas trop les pieoculthérapiser pour la forme.

  • Par mat 30/10/2006 at 21h04

    Donne moi un site en SSL2 :-)

  • Par Nicolas Krebs 12/11/2006 at 13h04

    « #flock@irc.flock.com »

    Qu’est-ce que c’est que ça ?

  • Par Frédéric de Villamil 12/11/2006 at 18h19

    Mat : c’est fait me semble-t-il :)

    Nicolas : un canal de discussion IRC écrit sous forme compressée. Cela signifie “le canal de discussion flock sur le serveur irc.flock.com”

  • Par Nicolas Krebs 13/11/2006 at 19h48

    D’où vient cette notation ? Pourquoi l’utiliser ?

  • Par Nicolas Krebs 13/11/2006 at 19h48

    D’où vient cette notation ? Pourquoi l’utiliser ?

Commentaire Firefox 2 et SSL 2