Tls Security Protocol Thumbnail

Il est minuit moins une si vous n’êtes pas conforme aux nouvelles normes TLS!

Publié le mai 29, 2018 par Mathieu.roy Blogue Mathieu Roy

La date limite est le 30 juin 2018

Tel qu’averti par le PCI Security Standards Council, le 30 juin 2018 est la date limite pour désactiver les connections SSL/TLS 1.0 et pour se conformer aux révisions plus récentes du protocole. En effet, TLS 1.1 sera requis, et les versions 1.2 ou même 1.3 (qui vient tout juste d’être approuvé) sont fortement encouragées. Le Conseil offre des guides et du matériel pour aider le personnel TI à migrer les serveurs désuets vers les versions à jour du protocole d’encryption.

Le code web désuet pourrait cesser de fonctionner

Tel que mis de l’avant récemment, même si votre applicatif roule sur une infrastructure récente, du vieux code client pourrait ne pas pouvoir établir une connexion à un serveur qui a reçu la mise à jour TLS. Par exemple, les applications qui ciblent les versions < 4.5 du .NET Framework utilisent SSL 3.0 et TLS 1.0 par défaut, et risquent d’engendrer une erreur de type SocketException lors d’une tentative de connexion à un serveur à jour.

Des options s’offrent à vous pour moderniser ces applications désuètes, incluant un refactor du code à problème pour cibler le .NET Framework 4.6 ou plus récent, modifier le code ciblant 4.5 pour spécifier une version à jour du protocole, ou jouer dans le registre de la machine qui héberge le code client. Peu importe l’option, l’assistance de professionnels du génie logiciel sera nécessaire pour garantir que les changements persisteront dans le temps et à travers tous vos environnements.

Suivez les avertissements

Comment vous assurer que votre organisation est à jour en terme de sécurité? Cet article ne devrait pas être une révélation ou une source de panique, il y a de nombreux avertissements qui circulent depuis plusieurs mois déjà. Si vous êtes administrateur de serveurs ou d’applications qui sont à risque, vous devriez recevoir des avertissements de votre fournisseur d’infrastructure. De façon similaire, les navigateurs web évoluent pour vous avertir de faiblesses ou de désuétude des protocoles de transport SSL/TLS. L’effet d’un système qui n’est plus à jours devrait se faire sentir auprès de vos usagers. Votre système peut demeurer fonctionnel, mais son usage sera de plus en plus pollué par les avertissements.

Nexus est là pour aider

Vous vous sentez perdus? Vous avez besoin d’aide pour auditer le niveau de conformité de votre parc applicatif? Vous êtes tannés de recevoir des avertissements sans prendre action? Vous essayez de rejoindre votre développeur consultant préféré sans succès? Notre équipe de développeurs dévoués et d’experts techniques est disponible pour vous aider. SVP envoyer vos requêtes à info@nexusinno.com!

Vous avez un concept innovateur...

Laissez-nous vous proposer les meilleurs technologies