Vous êtes dans : Accueil > Tribunes libres >

Cahier de vacances : navigateurs Web et nouveautés, comment bien préparer la rentrée ?

Charles Blanc-Rolin, JEUDI 30 JUILLET 2020

Les RSSI ne s’arrêtant jamais vraiment, je vous propose un cahier de vacances sur le thème des nouveautés à connaître qui sont et vont être implémentées dans les navigateurs Web et ce sur quoi il va falloir se pencher à la rentrée si ce n’est pas déjà fait...

→ Capri Flash Player c’est fini !

Annoncé il y a trois ans maintenant par l’éditeur Adobe, le lecteur de contenus multimédias Web Flash Player arrivera officiellement en fin de vie à la fin de cette année [1].
Au-delà de l’arrêt du support par Adobe, les navigateurs Web du marché ne supporteront donc définitivement plus les contenus Flash dans les mois à venir. Mozilla annonce l’arrêt le support de Flash dès la version 84 de Firefox prévue pour le mois de décembre [2], idem côté Microsoft qui prévoit l’arrêt du support de Flash dans Internet Explorer et Edge (non basé sur Chromium) au mois de décembre [3]. Chez Google, c’est en janvier 2021 que sonnera le glas avec la version 88 de Chrome / Chromium [4].
Attention donc aux sites et applications Web vieillissant utilisés en interne s’appuyant sur du contenu Flash !

→ Certificat TLS de moins de 398 jours : « je walide » :

Apple a annoncé début mars [5], que tout nouveau certificat TLS permettant le chiffrement de flux (HTTP, SMTP..) créé à partir du 1erseptembre 2020, ne serait plus considéré comme valide par les produits Apple si sa période de validité excédait 398 jours ! Ce qui devait arriver, est arrivé, Google a suivi le mouvement et a annoncé fin juin que son navigateur Chrome / Chromium [6] appliquerait la même politique dès le mois de septembre, et plus récemment, Mozilla a annoncé que la validité des certificats TLS passerait de 825 à 398 jours dans le navigateur Firefox [7].

Attention à vos renouvellement de certificat TLS publiques !

→ TLS 1.2 minimum !

Les protocoles TLS 1.0 et 1.1 ne sont / seront plus supportés dans les principaux navigateurs Web.
Microsoft a annoncé en mars, repousser au 8 septembre la désactivation du support des protocoles de chiffrement obsolètes dans ses navigateurs Web Internet Explorer et Edge (non basé sur Chromium), pour cause d’impossibilité d’accès à certains sites gouvernementaux en pleine crise sanitaire [8]. Côté Mozilla, la désactivation prévue pour mars est effective depuis la version 78 de Firefox publiée fin juin [9]. La branche 68 ESR n’est pas affectée, mais le répit ne sera que de courte durée avec l’arrivée de la branche 78 ESR et la dernière version 68 ESR prévue pour la fin du mois d’août. Google indique qu’il sera possible de réactiver le support de TLS 1.0 et 1.1 via GPO jusqu’en janvier 2021 [10].
N’ayant pas eu de communication contraire chez Apple, nous pouvons supposer que la désactivation est là aussi effective [11].

Attention à vos applications Web internes ! Si vos serveurs Web sont obsolètes, il est possible que vous ayez la désagréable surprise de voir vos utilisateurs dans l’incapacité d’y accéder. Idem pour vos sites et applications Web disponibles depuis Internet. La désactivation de TLS 1.0 et 1.1 est vivement recommandée également sur vos serveurs Web.

→ Bye bye HTTP ?

Firefox proposera directement depuis l’onglet paramètres, la possibilité d’activer le mode « HTTPS uniquement » dès la version 80, prévue pour la fin du mois d’août [12]. Cette fonctionnalité inspirée de l’excellent module additionnel HTTPS Everywhere proposé par l’EFF [13] permet de forcer l’utilisation du protocole HTTPS partout, y compris sur des pages HTTPS incluant du contenu tiers non chiffré.
L’arrivée de cette nouvelle fonctionnalité laisse penser que la fin de l’utilisation du protocole HTTP se rapproche, même si ce n’est pas encore pour demain.

Désolé, je n’ai pas prévu d’activité coloriage cette semaine.

Bonnes vacances malgré tout.

[1] https://theblog.adobe.com/adobe-flash-update/

[2] https://developer.mozilla.org/en-US/docs/Plugins/Roadmap

[3] https://blogs.windows.com/msedgedev/2019/08/30/update-removing-flash-microsoft-edge-internet-explorer/

[4] https://www.chromium.org/flash-roadmap#TOC-Flash-Support-Removed-from-Chromium-Target:-Chrome-88---Jan-2021-

[5] https://support.apple.com/en-us/HT211025

[6] https://chromium-review.googlesource.com/c/chromium/src/+/2258372

[7] https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/

[8] https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/

[9] https://support.mozilla.org/fr/kb/firefox-enterprise-78-release-notes

[10] https://security.googleblog.com/2018/10/modernizing-transport-security.html

[11] https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/

[12] https://www.ghacks.net/2020/07/11/firefox-80-https-only-mode-in-settings/

[13] https://www.eff.org/fr/https-everywhere 

#rssi##microsoft