En février 2020, PaymentEvolution supprime la prise en charge des protocoles TLS 1.0 et 1.1. Pour vous assurer que vos applications continuent à fonctionner, mettez à niveau vers au moins TLS 1.2.
A partir du 1er février 2020, PaymentEvolution supprimera toute prise en charge des protocoles TLS 1.0 et 1.1. Après cette date, tout partenaire ou client de PaymentEvolution dont le navigateur ou le client API ne prend pas en charge TLS 1.2 constatera que ses applications ou intégrations qui utilisent les services de PaymentEvolution ne fonctionneront pas. A l'avenir, tous les nouveaux clients de PaymentEvolution utiliseront uniquement TLS 1.2.
Pour une sécurité optimale, PaymentEvolution recommande de passer à TLS 1.2 dès que possible pour votre organisation. Cela signifie que vous devriez utiliser au moins .NET 4.5 et la version la plus récente de votre navigateur Internet préféré, où il est l'option par défaut.
Qu'est-ce que TLS ?
Transport Layer Security (TLS) est un protocole qui garantit la confidentialité entre les applications communicantes et leurs utilisateurs sur l'internet. Lorsqu'un serveur et un client communiquent, TLS garantit qu'aucun tiers ne peut écouter ou altérer un message. TLS est le successeur de Secure Sockets Layer (SSL).
Comment vérifier si vous êtes concerné ?
Pour vérifier la prise en charge de TLS 1.2 par votre navigateur : Visitez la page de test des capacités SSL/TLS.
Pourquoi PaymentEvolution passe-t-il à TLS 1.2 ?
Chez PaymentEvolution, la sécurité nous tient à cœur. La sécurité n'est pas une destination, mais un voyage et un état d'esprit. Nous devons observer ce qui se passe à l'extérieur et nous adapter en conséquence.
TLS 1.0 n'est plus sûr. Des exploits existent pour rétrograder une connexion basée sur TLS 1.0 vers une ancienne version du protocole. Il n'existe pas d'exploitation active affectant l'ensemble de TLS 1.1, mais l'attaque par rétrogradation fonctionne sur certaines versions et installations et, d'un point de vue théorique, les fonctions de hachage de TLS 1.1 sont menacées.
Si vous utilisez une ancienne révision du protocole SSL/TLS, il se peut que quelqu'un soit assis sur la ligne et s'empare de vos données alors qu'absolument rien dans la connexion ne l'indique. Une connexion sécurisée compromise n'est pas différente d'une connexion non sécurisée, mais peut donner un faux sentiment de sécurité.
La révision et la dépréciation des protocoles est une chose attendue et occasionnelle, car les techniques de cryptage s'améliorent et les vitesses de traitement augmentent avec le temps. Cette dépréciation et cette notification sont destinées à assurer la sécurité de nos clients. Toute personne qui se tient au courant des derniers développements sera déjà en sécurité, mais ceux qui ne se sont pas tenus au courant pourraient se retrouver à utiliser une méthode non sécurisée.
Qui sera affecté par la mise à niveau TLS ?
Il y a deux parties principales qui seront affectées :
Les partenaires ou clients de PaymentEvolution avec des applications tierces utilisant l'API de PaymentEvolution qui utilisent des versions plus anciennes de .NET ou d'autres environnements qui ne prennent pas en charge TLS 1.2. Remarque : Il est nécessaire d'effectuer une mise à niveau vers au moins .NET 4.5 pour avoir la prise en charge de TLS 1.2.
Utilisateurs d'anciennes versions de navigateur. Si vous ne suivez pas les dernières mises à jour de votre navigateur, tout ce que vous faites en ligne est à risque ! Lisez cet article pour obtenir un tableau détaillé indiquant la prise en charge de TLS (ainsi que d'autres fonctions de sécurité) des navigateurs de bureau et mobiles les plus utilisés : https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers
Comme toujours, il est recommandé d'utiliser la version la plus récente du navigateur Web dont vous disposez pour bénéficier de la navigation la plus récente et la plus sûre.
Ressources techniques
- TLS 1.1 Spec: http://tools.ietf.org/html/rfc4346
- TLS 1.2 Spec: http://tools.ietf.org/html/rfc5246
- Vulnérabilités incitant à abandonner TLS 1.0/1.1: https://www.globalsign.com/en/blog/poodle-vulnerability-expands-beyond-sslv3-to-tls/