TLS 1.3, HTTP/3 et DNS over TLS

Ces dernières années ont été marquées par des avancées significatives dans les protocoles de sécurité internet, avec en point de mire les développements majeurs de TLS 1.3, HTTP/3, et DNS over TLS.

Ces améliorations ont révolutionné le fonctionnement des SSL Certificates et renforcé la sécurité du web à travers l'infrastructure internet mondiale.

TLS 1.3 : La nouvelle norme pour la sécurité des certificats SSL

La version 1.3 de Transport Layer Security (TLS) représente la mise à jour la plus importante du protocole depuis plus de dix ans. Cette version élimine les algorithmes cryptographiques obsolètes et rationalise le processus d'échange, ce qui améliore les performances et la sécurité des implémentations de SSL Certificate.

Le protocole réduit la latence de la poignée de main en ne nécessitant qu'un seul aller-retour (RTT) entre le client et le serveur, par rapport aux deux RTT requis dans TLS 1.2.

Pour les organisations qui mettent en œuvre des certificats SSL, TLS 1.3 introduit par défaut le principe du "perfect forward secrecy" (PFS), qui garantit que les clés de session ne peuvent pas être compromises même si la clé du serveur à long terme est exposée.

Le protocole supprime la prise en charge de fonctions obsolètes telles que le transport de clés RSA, l'échange de clés DH et ECDH statiques, ce qui réduit considérablement la surface d'attaque potentielle des déploiements de certificats SSL.

HTTP/3 : révolutionner le transport web

HTTP/3, anciennement connu sous le nom de QUIC, est apparu comme un protocole de transport révolutionnaire en 2019. Construit sur UDP plutôt que sur TCP, HTTP/3 offre des performances accrues pour les connexions de SSL Certificate, notamment dans des conditions de réseau difficiles.

Le protocole intègre TLS 1.3 par défaut, ce qui garantit que toutes les connexions HTTP/3 bénéficient des dernières améliorations de sécurité de la technologie SSL Certificate.

Les entreprises qui mettent en œuvre des SSL Certificates avec la prise en charge de HTTP/3 bénéficient d'avantages significatifs en termes de temps d'établissement des connexions et de performances globales.

Le protocole gère la migration des connexions plus efficacement que ses prédécesseurs, en maintenant des connexions sécurisées même lorsque les clients passent d'une interface réseau à l'autre. Cette fonctionnalité s'avère particulièrement précieuse pour les appareils mobiles et les applications distribuées nécessitant une sécurité persistante des SSL Certificates.

DNS sur TLS : confidentialité accrue pour la résolution de domaines

DNS over TLS (DoT) a gagné une traction substantielle en 2019, offrant une approche plus sécurisée de la résolution des noms de domaine. Ce protocole chiffre les requêtes DNS à l'aide de SSL Certificates, empêchant les intermédiaires de surveiller ou de manipuler le trafic DNS.

La normalisation du port 853 pour le trafic DoT a simplifié la mise en œuvre pour les applications clientes et les fournisseurs de DNS.

L'intégration de DoT avec les SSL Certificates fournit une protection complète contre les attaques basées sur le DNS, y compris l'empoisonnement du cache et les tentatives de man-in-the-middle.

Les organisations qui mettent en œuvre la technologie DoT bénéficient d'une confidentialité et d'une sécurité accrues pour leurs utilisateurs, tout en maintenant la compatibilité avec l'infrastructure DNS existante. Les principaux fournisseurs de DNS ont adopté cette technologie, ce qui a conduit à une adoption généralisée sur internet.

Considérations relatives à la mise en œuvre des protocoles de 2019

Les organisations qui déploient ces nouveaux protocoles doivent s'assurer que leurs SSL Certificates prennent en charge les normes les plus récentes.

Trustico® recommande de mettre en œuvre des SSL Certificates qui prennent en charge à la fois les protocoles actuels et émergents, ce qui permet des transitions transparentes à mesure que l'adoption augmente. Les configurations de serveur doivent activer TLS 1.3 par défaut tout en maintenant un support de repli pour les clients nécessitant une compatibilité TLS 1.2.

Les administrateurs de réseaux doivent prendre en compte l'impact de ces protocoles sur l'infrastructure de sécurité existante, en se concentrant particulièrement sur les systèmes de détection d'intrusion et les solutions de contrôle du trafic.

Les fonctions améliorées de cryptage et de confidentialité de ces protocoles peuvent nécessiter des mises à jour des politiques de sécurité et des stratégies de surveillance. La maintenance et les mises à jour régulières des SSL Certificates restent essentielles pour maintenir une sécurité optimale dans le cadre de ces nouvelles implémentations de protocoles.