Outil de diagnostic de version du protocole TLS

Saisissez un nom de domaine pour vérifier les versions TLS (1.0 à 1.3) prises en charge. Vérifiez gratuitement si votre serveur autorise encore des versions obsolètes.

Conseils d'utilisation

  • La norme PCI DSS (sécurité de l'industrie des cartes de paiement) exige depuis 2018 la désactivation de TLS 1.0/1.1, jugés « protocoles insuffisamment sécurisés ». Les sites traitant des paiements devraient vérifier cela en priorité.
  • Contrairement à un vérificateur de certificat SSL, qui examine la date d'expiration et l'émetteur d'un certificat, cet outil diagnostique la configuration au niveau du protocole lui-même — les versions que le serveur est prêt à négocier. Utiliser les deux ensemble donne une vue plus complète.
  • Laisser TLS 1.0/1.1 activé n'interrompt pas immédiatement le trafic habituel, mais les principaux navigateurs tendent de plus en plus à les rejeter par défaut, donc les désactiver tôt réduit les risques de compatibilité futurs.
  • À l'inverse, si TLS 1.2 et 1.3 sont tous deux désactivés, cela suggère fortement une erreur de configuration, car les navigateurs modernes pourraient ne pas pouvoir se connecter du tout — traitez ce cas en priorité absolue.
  • Si votre site fonctionne sur un hébergement mutualisé ou derrière un CDN, les paramètres de version TLS sont généralement contrôlés par l'hébergeur ; signalez tout problème détecté à son support technique.

Questions fréquentes

TLS 1.0, normalisé en 1999, est un protocole ancien affecté par des faiblesses cryptographiques exploitées par des attaques telles que BEAST et POODLE. La norme PCI DSS a imposé l'abandon de TLS 1.0/1.1 avant fin juin 2018, et les principaux navigateurs en retirent progressivement la prise en charge depuis.

Il suffit de saisir votre domaine dans cet outil. Il tente une véritable poignée de main pour chaque version de TLS 1.0 à 1.3 et indique lesquelles réussissent, sans nécessiter d'outils en ligne de commande comme openssl.

Des systèmes d'exploitation et navigateurs très anciens (comme le navigateur par défaut de Windows XP) pourraient perdre l'accès, mais tous les navigateurs et systèmes d'exploitation courants actuels prennent déjà en charge TLS 1.2 ou une version supérieure, donc l'impact pratique reste généralement limité.

TLS 1.3, normalisé en 2018, offre des poignées de main plus rapides et une sélection de suites cryptographiques plus simple et plus sûre. TLS 1.2 ne présente lui non plus aucune faille critique connue, si bien qu'une approche courante consiste à activer les deux : les clients récents utilisent 1.3 tandis que les plus anciens se rabattent sur 1.2.

Cet outil ne diagnostique que la prise en charge de la version du protocole. Pour vérifier la date d'expiration, l'émetteur ou les entrées SAN du certificat, utilisez le vérificateur de certificat SSL de la même catégorie.
ツールくん

Anecdote — L'évolution des versions de TLS et de leurs vulnérabilités

SSL, le prédécesseur de TLS, a été développé par Netscape au milieu des années 1990, mais SSL 2.0 comme 3.0 présentaient des défauts de conception fondamentaux. TLS 1.0, normalisé en 1999 en tant que successeur de SSL 3.0, souffrait encore, dans certaines implémentations, d'un traitement incorrect des vecteurs d'initialisation dans les chiffrements en mode CBC — une faiblesse démontrée par l'attaque BEAST en 2011.

En 2014, l'attaque POODLE a révélé un défaut de conception dans SSL 3.0 lui-même, et l'inquiétude s'est rapidement étendue à TLS 1.0/1.1, d'architecture similaire. La norme PCI DSS a annoncé en 2015 une interdiction progressive de TLS 1.0 et fixé juin 2018 comme échéance finale pour une migration complète hors de TLS 1.1 et des versions inférieures.

TLS 1.3, normalisé en 2018, a tiré les leçons de ces vulnérabilités passées en supprimant de la spécification les suites cryptographiques propices aux faiblesses (comme RC4 et les chiffrements par blocs en mode CBC) et en réduisant le nombre d'allers-retours de la poignée de main. Aujourd'hui, la plupart des grands navigateurs et logiciels serveurs activent TLS 1.3 par défaut et ont déjà abandonné la prise en charge de TLS 1.0/1.1.

Malgré cela, il existe encore dans le monde des serveurs dépendant de systèmes anciens, et il n'est pas rare de trouver TLS 1.0/1.1 laissé activé sans que personne ne s'en aperçoive. Rendre visible d'un coup d'œil une configuration que les administrateurs peuvent facilement négliger, c'est précisément la valeur qu'apporte un outil de diagnostic comme celui-ci.