Google Chrome : TLS 1.2 obligatoire d'ici Mars 2020 et intégration prochaine de Password CheckUp !

Depuis 2016 (mais de manière plus marginales, notamment sur les numéros de CBs), Google impose le pas sécuritaire aux administrateurs, via l'adoption progressive mais obligatoire, sous Google Chrome, du protocole de chiffrement TLS dont les versions ultérieures à 1.2 seront, d'ici Mars de l'année prochaine, tout simplement ignorées !...

 

 

Si l'affaire des certificats Symantec avait donnée lieu à une restriction supplémentaire (rappelée à l'occasion du déploiement de Chrome 66, dans un billet dédié) pour, dans l'ensemble, appuyer cette volonté de Google de ne pas supporter de trop anciennes versions du TLS via cette exemple extrême mais légitime, Mountain View poursuit son chemin en annonçant les prochaines étapes qui viendront clôturer progressivement les connexions de sites Web qui seraient en version inférieure à TLS 1.2.

 

"À compter du 13 janvier 2020, pour Chrome 79 et les versions ultérieures, nous afficherons un indicateur «Non sécurisé» pour les sites utilisant TLS 1.0 ou 1.1 afin d'avertir les utilisateurs de la configuration obsolète", indique Google dans son communiqué du 1er Octobre dernier. C'est à partir de la version 81 de Chrome que cela se corsera, en version stable : "nous allons commencer à bloquer les connexions aux sites utilisant TLS 1.0 ou 1.1, en affichant un avertissement en pleine page", est-il indiqué. Il est ainsi recommander aux administrateurs de sites "d'activer immédiatement TLS 1.2" ou version supérieure (version 1.3, depuis Août 2018).

Dans la foulée et toujours pour son navigateur, Google confirme que l'extension Password CheckUp (déployée en tant que telle depuis le 5 Février 2019), un miroir de "https://haveibeenpwned.com/" (Mozilla) qui, au lieu d'utiliser l'adresse mail (pour un risque POTENTIEL d'utilisation frauduleuse quand le résultat matche" utilise, selon son nom, les mots de passe comme source d'analyse afin de savoir leur pertinence (complexité), leur éventuelle redondance (usité sur un ou plusieurs sites) et si, bien sûr le(s) mot(s) de passe(s) a ou ont fait l'objet d'une fuite de données. La fonctionnalité est déjà disponible sur le compte Google (section "sécurité" puis l'encart "sécuriser le compte" et, enfin, Check-up mots de passe) et devrait arriver "bientôt" sous Chrome, selon la firme Américaine... A suivre !

 

Source : Blog Google - 1er Octobre 2019 - Mise à jour TLS en version 1.2 obligatoire d'ici Mars 2020 sous Chrome.