Cybersécurité

Comment désactiver ssl tls pour sécuriser simplement votre site web

Sur Internet, la confidentialité ne se négocie pas. Pourtant, certains administrateurs décident de se passer de SSL ou TLS. Cette démarche, souvent motivée par des soucis de compatibilité ou la volonté d’alléger la configuration serveur, mérite une attention toute particulière. Avant de franchir ce cap, il s’agit d’en mesurer l’impact. Car si cela règle certains blocages techniques, le prix à payer se situe bien souvent du côté de la sécurité : les échanges entre le serveur et les utilisateurs deviennent vulnérables. Désactiver SSL/TLS ne s’improvise jamais, et nécessite de compenser avec d’autres solutions pour ne pas exposer les données à tous les vents.

Sommaire
Pourquoi désactiver les protocoles SSL et TLS ?Évolution des versionsCompatibilité et performanceConformité réglementaireRisques et conséquences de la désactivation de SSL et TLSVulnérabilités exposéesImpact sur la continuité des servicesContexte de la pandémie de COVID-19Étapes pour désactiver SSL et TLS en toute sécuritéMise à jour des navigateursConfiguration du serveurVérification de la compatibilitéPlan de communicationSurveillance et mises à jourAlternatives et meilleures pratiques pour sécuriser votre site webMise à jour et conformitéUtilisation de certificats SSL modernesMeilleures pratiques de configurationÉducation et formation

Pourquoi désactiver les protocoles SSL et TLS ?

SSL (Secure Sockets Layer) et TLS (Transport Layer Security) sont les remparts historiques de la transmission sécurisée sur Internet. Pourtant, il arrive que leur présence complique la vie des administrateurs, au point de pousser à leur désactivation.

À lire aussi : Sécuriser sa messagerie académique de Rouen face aux cybermenaces

Évolution des versions

Les protocoles ont évolué pour faire face aux menaces. À chaque nouvelle mouture, des failles sont comblées, des performances améliorées, le tout pour suivre le rythme d’Internet :

  • TLS 1.0 : remplaçant de SSL, mais déjà dépassé par de nouvelles techniques d’attaque.
  • TLS 1.1 : mieux armé, même s’il reste vulnérable face aux cybercriminels d’aujourd’hui.
  • TLS 1.2 : bond en avant côté sécurité et rapidité.
  • TLS 1.3 : le dernier-né, validé par l’IETF, combine protection avancée et latence réduite.

Compatibilité et performance

Certains anciens systèmes peinent à suivre l’évolution. Pour maintenir le fonctionnement de dispositifs obsolètes, il peut être tentant de désactiver des protocoles trop récents. Cette décision vise généralement à préserver une compatibilité avec des équipements ou des applications qui n’ont pas été mis à jour.

Conformité réglementaire

Les cadres réglementaires, comme le PCI DSS, imposent des versions précises de TLS pour garantir la sécurité des flux de données. Depuis 2018, la norme exige au minimum TLS 1.1, forçant ainsi les administrateurs à ajuster leur configuration s’ils veulent rester dans les clous.

Ainsi, le choix de désactiver certaines versions, voire l’intégralité de SSL/TLS, s’inscrit souvent dans un équilibre délicat entre sécurité, compatibilité et exigences réglementaires.

Risques et conséquences de la désactivation de SSL et TLS

Vulnérabilités exposées

Supprimer SSL et TLS, c’est retirer la serrure de la porte d’entrée. Les attaques ciblant ces protocoles n’ont pas tardé à se multiplier : BEAST s’attaque à TLS 1.0, POODLE et DROWN exploitent les failles de SSL. Voici quelques exemples concrets :

  • BEAST : attaque spécifique à TLS 1.0, utilisée pour intercepter et manipuler les données sensibles.
  • POODLE : vise directement SSL, permettant le contournement du chiffrement.
  • DROWN : tire parti des faiblesses de SSL pour décrypter des communications supposées protégées.

Impact sur la continuité des services

Au-delà des failles de sécurité, désactiver ces protocoles peut provoquer des messages d’erreur tels que erreur connexion SSL ou err SSL protocol. L’accès au site devient alors laborieux, et l’expérience utilisateur en prend un coup. On a vu des entreprises perdre du trafic du jour au lendemain à cause de ces alertes impossibles à ignorer.

Contexte de la pandémie de COVID-19

La crise sanitaire liée à la COVID-19 a chamboulé le calendrier de mise à jour des navigateurs. Chrome 84 et Firefox 78, par exemple, devaient supprimer le support de TLS 1.0 et TLS 1.1 plus tôt, mais le contexte a forcé un report pour laisser aux entreprises le temps de s’adapter.

Au final, désactiver SSL/TLS, c’est jouer avec l’intégrité des données, la disponibilité du service et la conformité. La sécurité d’un site web s’en trouve fragilisée sur tous les plans.

Étapes pour désactiver SSL et TLS en toute sécurité

Mise à jour des navigateurs

Avant toute manipulation, il faut vérifier que les navigateurs utilisés sont compatibles. Chrome et Firefox, dans leurs versions récentes, ne prennent plus en charge les anciennes moutures :

  • Chrome 84, publié le 14 juillet, ne supporte plus TLS 1.0 et TLS 1.1.
  • Firefox 78, sorti dans la même période, a également abandonné ces protocoles.

Configuration du serveur

La désactivation passe par la modification des fichiers de configuration. Pour Apache, il suffit d’ajouter ou de modifier la ligne SSLProtocol -all +TLSv1.2 +TLSv1.3. Du côté de Nginx, la commande ssl_protocols TLSv1.2 TLSv1.3; fait le travail. Cela verrouille l’accès aux versions obsolètes et force l’adoption des standards récents.

Vérification de la compatibilité

Avant d’appuyer sur le bouton, une vérification minutieuse s’impose. Des outils comme SSL Labs permettent de tester la configuration et de s’assurer que tous les systèmes, internes comme externes, suivront sans accroc.

Plan de communication

Préparer le terrain auprès des utilisateurs réduit le risque de mauvaise surprise. Une période de transition, annoncée à l’avance, permet d’anticiper les blocages et de rassurer les publics concernés.

Surveillance et mises à jour

Une fois les protocoles désactivés, il est indispensable de surveiller les logs serveur pour détecter d’éventuelles anomalies. Les mises à jour régulières complètent la démarche, maintenant le site conforme face aux évolutions de la sécurité web.

En suivant ces étapes, la transition se fait sans heurts et la sécurité du site reste maîtrisée.

sécurité web

Alternatives et meilleures pratiques pour sécuriser votre site web

Mise à jour et conformité

Après la désactivation de SSL et des versions dépassées de TLS, il devient impératif de s’appuyer sur les recommandations de l’IETF et du PCI DSS. Depuis 2018, le PCI DSS impose TLS 1.1 ou supérieur, mais s’orienter vers TLS 1.2 ou 1.3 reste la voie la plus sûre et la plus reconnue.

Utilisation de certificats SSL modernes

Les certificats délivrés par des autorités de certification de référence, telles que GlobalSign ou Let’s Encrypt, assurent un niveau de sécurité à la hauteur des exigences actuelles. Ils sont conçus pour fonctionner de pair avec les nouveaux protocoles, garantissant la confidentialité des échanges.

Meilleures pratiques de configuration

Pour renforcer la sécurité, plusieurs axes d’amélioration sont à privilégier :

  • Désactivez les suites de chiffrement qui ne sont plus jugées fiables.
  • Mettez en place des mécanismes additionnels comme HTTP Strict Transport Security (HSTS) afin d’obliger les navigateurs à utiliser le chiffrement.
  • Procédez régulièrement à des audits et à des vérifications des configurations en place.

Éducation et formation

La sécurité passe aussi par la compétence des équipes. Prendre le temps de former les collaborateurs aux bonnes pratiques, comme le souligne Cally Fritsch de chez GlobalSign, permet de garder une longueur d’avance sur les menaces.

Adopter ces stratégies, c’est transformer la contrainte technique en opportunité de renforcer la confiance des utilisateurs. Face à l’évolution rapide des cybermenaces, la sécurité ne s’impose jamais comme un luxe, mais comme une nécessité. Reste à chacun de choisir s’il préfère avancer à découvert ou verrouiller l’accès dès la première porte.

Les immanquables

Recherche

A ne pas manquer

Au coeur de l'actu

Lost your password?