RFC 7525 - Recommandations pour l'utilisation sécurisée de Transport Layer Security (TLS) et Datagram Transport Layer Security (DTLS)

• Statut: Best Current Practice
• Publié: May 2015
• Stream: IETF
• Remplacé par: RFC9325
• Errata: Pas d'errata

---

Informations sur le document

• Numéro RFC: 7525
• Titre: Recommandations pour l'utilisation sécurisée de Transport Layer Security (TLS) et Datagram Transport Layer Security (DTLS)
• BCP: 195
• Catégorie: Meilleure pratique actuelle
• Date: Mai 2015
• Auteurs:
  • Y. Sheffer (Intuit)
  • R. Holz (NICTA)
  • P. Saint-Andre (&yet)

Résumé

Transport Layer Security (TLS) et Datagram Transport Layer Security (DTLS) sont largement utilisés pour protéger les données échangées sur des protocoles applicatifs tels que HTTP, SMTP, IMAP, POP, SIP et XMPP. Au cours des dernières années, plusieurs attaques graves contre TLS ont émergé, notamment des attaques contre ses suites de chiffrement les plus couramment utilisées et leurs modes de fonctionnement. Ce document fournit des recommandations pour améliorer la sécurité des services déployés qui utilisent TLS et DTLS. Ces recommandations sont applicables à la majorité des cas d'usage.

Statut de ce mémorandum

Ce mémorandum documente une meilleure pratique actuelle de l'Internet.

Ce document est un produit de l'Internet Engineering Task Force (IETF). Il représente le consensus de la communauté IETF. Il a reçu un examen public et a été approuvé pour publication par l'Internet Engineering Steering Group (IESG). De plus amples informations sur les BCP sont disponibles dans la Section 2 de la RFC 5741.

Les informations concernant le statut actuel de ce document, les errata éventuels, et la manière de fournir des commentaires peuvent être obtenues à l'adresse http://www.rfc-editor.org/info/rfc7525.

Notice de copyright

Copyright (c) 2015 IETF Trust et les personnes identifiées comme auteurs du document. Tous droits réservés.

Ce document est soumis au BCP 78 et aux dispositions légales de l'IETF Trust relatives aux documents IETF (http://trustee.ietf.org/license-info) en vigueur à la date de publication de ce document. Veuillez examiner ces documents attentivement, car ils décrivent vos droits et restrictions concernant ce document. Les composants de code extraits de ce document doivent inclure le texte de la licence BSD simplifiée tel que décrit dans la Section 4.e des dispositions légales du Trust et sont fournis sans garantie comme décrit dans la licence BSD simplifiée.

Contents

• 1. Introduction
• 2. Terminologie
• 3. Recommandations générales
  • 3.1. Versions de protocole
    • 3.1.1. Versions du protocole SSL/TLS
    • 3.1.2. Versions du protocole DTLS
    • 3.1.3. Repli vers des versions inférieures
  • 3.2. TLS strict
  • 3.3. Compression
  • 3.4. Reprise de session TLS
  • 3.5. Renégociation TLS
  • 3.6. Indication du nom de serveur
• 4. Recommandations: Suites de chiffrement
  • 4.1. Directives générales
  • 4.2. Suites de chiffrement recommandées
    • 4.2.1. Détails d'implémentation
  • 4.3. Longueur de clé publique
  • 4.4. Suites de chiffrement DH exponentiel modulaire vs. courbe elliptique
  • 4.5. HMAC tronqué
• 5. Déclaration d'applicabilité
  • 5.1. Services de sécurité
  • 5.2. Sécurité opportuniste
• 6. Considérations de sécurité
  • 6.1. Validation du nom d'hôte
  • 6.2. AES-GCM
  • 6.3. Confidentialité persistante
  • 6.4. Réutilisation d'exposant Diffie-Hellman
  • 6.5. Révocation de certificat
• 7. Références
  • 7.1. Références normatives
  • 7.2. Références informatives
• Remerciements
• Adresses des auteurs