La sécurité dans Firefox 2

Un article de MDC.

Cet article aborde les changements concernant la sécurité dans Firefox 2.

[modifier] Chiffrements faibles désactivés par défaut

Firefox 2 désactive par défaut le support de SSLv2 et les suites de chiffrement faible (celles ayant des longueurs de clefs inférieures à 64 bits) en faveur de SSLv3. Ce choix améliore la sécurité.

Les méthodes privilégiées de chiffrage sont TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA et TLS_RSA_WITH_3DES_EDE_CBC_SHA. Certains serveurs y font référence en tant que SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA et SSL_RSA_WITH_3DES_EDE_CBC_SHA.

Si le support de SSLv2 doit être activé, vous devrez définir avec la valeur true la préférence utilisateur security.ssl2.* dans about:config.

[modifier] Nouvelles fonctionnalités

• Firefox 2 supporte la cryptographie sur courbes elliptiques (ECC) dans TLS. Le support est pour l'instant limité aux courbes de 256, 384 et 521 (oui, 521 !) bits.
• Firefox 2 supporte l'extension d'identification de nom de serveur TLS pour faciliter les connexions sécurisées sur des serveurs hébergeant plusieurs serveurs virtuels sous la même adresse réseau, suivant la RFC 3546.
• Lorsque Firefox 2 effectue une requête OSCP pour valider un certificat d'un serveur Web, il utilise désormais le proxy configuré pour le trafic HTTP normal.

[modifier] Détermination du chiffrement disponible

Comme toujours, vous pouvez vérifier le chiffrement supporté — celui qui a été activé ou désactivé — en cherchant « ssl » ou « tls » dans about:config.