Outil de diagnostic de version du protocole TLS
Saisissez un nom de domaine pour vérifier les versions TLS (1.0 à 1.3) prises en charge. Vérifiez gratuitement si votre serveur autorise encore des versions obsolètes.
Conseils d'utilisation
- La norme PCI DSS (sécurité de l'industrie des cartes de paiement) exige depuis 2018 la désactivation de TLS 1.0/1.1, jugés « protocoles insuffisamment sécurisés ». Les sites traitant des paiements devraient vérifier cela en priorité.
- Contrairement à un vérificateur de certificat SSL, qui examine la date d'expiration et l'émetteur d'un certificat, cet outil diagnostique la configuration au niveau du protocole lui-même — les versions que le serveur est prêt à négocier. Utiliser les deux ensemble donne une vue plus complète.
- Laisser TLS 1.0/1.1 activé n'interrompt pas immédiatement le trafic habituel, mais les principaux navigateurs tendent de plus en plus à les rejeter par défaut, donc les désactiver tôt réduit les risques de compatibilité futurs.
- À l'inverse, si TLS 1.2 et 1.3 sont tous deux désactivés, cela suggère fortement une erreur de configuration, car les navigateurs modernes pourraient ne pas pouvoir se connecter du tout — traitez ce cas en priorité absolue.
- Si votre site fonctionne sur un hébergement mutualisé ou derrière un CDN, les paramètres de version TLS sont généralement contrôlés par l'hébergeur ; signalez tout problème détecté à son support technique.
Questions fréquentes
Anecdote — L'évolution des versions de TLS et de leurs vulnérabilités
SSL, le prédécesseur de TLS, a été développé par Netscape au milieu des années 1990, mais SSL 2.0 comme 3.0 présentaient des défauts de conception fondamentaux. TLS 1.0, normalisé en 1999 en tant que successeur de SSL 3.0, souffrait encore, dans certaines implémentations, d'un traitement incorrect des vecteurs d'initialisation dans les chiffrements en mode CBC — une faiblesse démontrée par l'attaque BEAST en 2011.
En 2014, l'attaque POODLE a révélé un défaut de conception dans SSL 3.0 lui-même, et l'inquiétude s'est rapidement étendue à TLS 1.0/1.1, d'architecture similaire. La norme PCI DSS a annoncé en 2015 une interdiction progressive de TLS 1.0 et fixé juin 2018 comme échéance finale pour une migration complète hors de TLS 1.1 et des versions inférieures.
TLS 1.3, normalisé en 2018, a tiré les leçons de ces vulnérabilités passées en supprimant de la spécification les suites cryptographiques propices aux faiblesses (comme RC4 et les chiffrements par blocs en mode CBC) et en réduisant le nombre d'allers-retours de la poignée de main. Aujourd'hui, la plupart des grands navigateurs et logiciels serveurs activent TLS 1.3 par défaut et ont déjà abandonné la prise en charge de TLS 1.0/1.1.
Malgré cela, il existe encore dans le monde des serveurs dépendant de systèmes anciens, et il n'est pas rare de trouver TLS 1.0/1.1 laissé activé sans que personne ne s'en aperçoive. Rendre visible d'un coup d'œil une configuration que les administrateurs peuvent facilement négliger, c'est précisément la valeur qu'apporte un outil de diagnostic comme celui-ci.