Abandon du TLS 1.0
A partir du 1er Juin 2018, le protocole TLS 1.0 ne sera plus utilisable chez PayPlug.
Cette décision fait suite à l’annonce de la décision du conseil des normes de sécurité PCI-DSS qui a décidé que le protocole TLS 1.2 devenait la norme de référence concernant les communications chiffrées.
Par conséquent, les marchands utilisant notre plateforme doivent s’assurer que leur serveur supporte bien le TLS 1.2.
Qu’est ce que le TLS ?
TLS (Transport Layer Security) est un protocole permettant de chiffrer les données transitant entre des serveurs, des logiciels et des applications réseaux. Il est utilisé par le navigateur des clients se rendant sur votre site marchand. Il permet notamment d’assurer la sécurité, l’intégrité et la confidentialité des données circulant sur Internet en s’assurant qu'aucune information ne puisse être interceptée par des individus mal intentionnés.
TLS est le successeur du protocole SSL, auquel il a apporté de nombreuses améliorations et notamment des algorithmes plus performants.
La version actuelle est la 1.2 et les travaux concernant la versions 1.3 ont été récemment finalisés.
L’utilisation de la norme 1.2 est essentielle afin d’assurer la sécurisation des données nécessitant une transmission chiffrée, par exemple la connexion entre votre serveur et votre compte payplug.
Le TLS 1.0 souffre malheureusement de failles de sécurité importantes ne permettant plus d’assurer l’intégrité des données échangées.
Le TLS n’est pas un certificat mais un protocole. Celui-ci doit être activé sur votre serveur même si votre site n’est pas doté d’un certificat. Il s’agit donc de 2 choses différentes.
Le fonctionnement du TLS nécessite la présence d’OpenSSL sur votre serveur.
Qu’est ce que OpenSSL ?
OpenSSL est une boîte à outils de chiffrement. Elle permet l’implémentation du protocole TLS sur votre serveur.
Comment savoir si mon serveur dispose bien du protocole TLS 1.2 ?
Vous devez vérifier votre serveur est configuré pour “parler” en TLS 1.2.
Il est nécessaire que les clients HTTP qui font appel aux serveurs PayPlug soient capable de communiquer via cette norme. La plupart du temps, le client HTTP utilisé est curl (au travers de PHP). curl s’appuie sur OpenSSL pour chiffrer les échanges.
Plus concrètement, vous devez vérifier les versions de la libcurl 7.21 et d’OpenSSL 1.0.1 installées sur votre serveur.
Si vous voulez rapidement tester votre serveur, vous pouvez mettre sur votre serveur la page en PHP disponible ici. Cette page vous permettra de vérifier toutes ces informations. Nous vous recommandons fortement de supprimer cette page une fois le test effectué.
Que faut-il faire si votre serveur ne supporte pas le TLS 1.2 ?
Il est nécessaire que votre serveur soit configuré de façon à accepter le protocole TLS 1.2.
Suivant votre situation, vous avez deux possibilités :
- Cas 1 : vous avez une agence ou un webmaster gérant votre site : Nous vous recommandons de contacter la personne en charge de votre site afin de vérifier avec elle que votre serveur est bien à jour concernant l’activation du protocole TLS 1.2
Voici un exemple de mail que vous pouvez envoyer à votre agence ou votre webmaster concernant ce sujet :
Bonjour,
Nous venons de recevoir un e-mail de la part de PayPlug, notre solution de paiement indiquant qu’à compter du 1er juin il ne sera plus possible de communiquer avec leur service en utilisant le protocole TLS 1.0.
L’ensemble des informations est disponible sur la page suivante.
Leur équipe nous a envoyé un e-mail pour nous indiquer que notre site utilisait toujours TLS 1.0 et non pas TLS 1.2 ou 1.3 comme recommandé.
Pourriez-vous regarder notre serveur et effectuer les mises à jour afin que tout puisse fonctionner après le 1er juin ?
Cordialement,
- Cas 2 : vous gérez vous même votre site et ne fait faites pas affaire avec un prestataire : Nous vous recommandons de suivre les recommandations formulées ci-dessous.
Il existe 2 types d’hébergement concernant un site e-commerce :
Hébergement mutualisé
Si vous êtes sur un hébergement mutualisé, vous devez vous rendre dans le panneau de configuration de votre hébergement afin de vérifier les paramètres concernant votre version d’OpenSSL.
Chez OVH, la version d’OpenSSL dépend de la version de PHP configurée pour votre hébergement. Afin de disposer de la dernière version, il est indispensable d’être en mode de production “stable”.
Hébergement via un serveur dédié ou un VPS
Si vous êtes sur un serveur dédié ou un VPS, il vous suffit de mettre à jour OpenSSL et d’éditer la configuration du serveur afin de refuser les connexions de vos clients dans une version égale ou inférieure à TLS 1.0, pour ne garder que le TLS 1.2.
Veuillez noter que les équipes support de PayPlug ne pourront pas vous accompagner dans cette migration.