firefoxEn testant la dernière nightly build de Flock, je me suis rendu compte que celui-ci ne supportait plus les versions de SSL inférieures à 3. Je trouve cela particulièrement stupide quand on voit le nombre de sites utilisant de vieux certificats SSL – comme des hébergeurs professionnels, d’autant que ceci concerne aussi les versions 2 et 3 de Firefox.

Le ticket 236933 ouvert chez Mozilla et intitulé Disable SSL2 and other weak ciphers explique les raisons de ce retrait :

Heya,

I would suggest to change the default security-settings … I have disabled the following myself:

SSLv2, all ciphers lower than 128 bit. And it would be even better yo disable md5 and only allow the others like sha-1, …

SSLv2 isn’t secure anymore since some time. SSLv3 and TLS are the only “secure” once to use these days as far as I know. It’s good mozilla includes them “MAYBE” for compatibility, but they shouldn’t be enabled as defaults …

I wouldn’t advise people who use their computer for internet-banking to enable SSLV2, … Ofcourse there are maybe easier ways to break get the necessary info, but disabling the things I mentionned above would help.

En cas de besoin pressant, réactiver SSL V2 reste toutefois possible :

Dans la barre d’adresse, tapez : about:config puis entree
Filtrez sur security.enable_ssl2
Mettez la valeur à true

Je ne sais évidemment pas ce qui est le plus stupide : toujours utiliser une vieille version pas sûre de SSL ou en désactiver et cacher le support. La discussion à ce sujet dans le bug sur le trop faible nombre de sites utilisant SSL V2 ne m’a pas vraiment convaincu. Désactiver le support des anciennes versions de SSL par défaut, en permettre la réactivation en cas de besoin d’une manière plus simple qu’en allant farfouiller dans le about:config, par exemple dans préférences -> avancé -> chiffrement comme c’était le cas autrefois, en l’accompagnant au besoin d’un message prévenant l’utilisateur des risques encourus m’aurait semblé beaucoup plus sensé.

Merci à Jeremy de #flock@irc.flock.com pour son aide.

Perry the Platypus wants you to subscribe now! Even if you don't visit my site on a regular basis, you can get the latest posts delivered to you for free via Email: