Des clients peuvent être attaqués via le protocole SSL V3 ¹⁾. L'authentification (donc l'envoi du mot de passe ou du numéro de la carte bleue) se fait avant le chiffrement ²⁾.

En attendant la mise à jour des logiciels, il faut forcer l'utilisation de TLS ³⁾, plus récent que SSL v3 ⁴⁾

Pour modifier la configuration de Firefox, taper “about:config” dans la barre d'URL.

Rechercher ensuite le paramètre security.tls.version.min.

Double-cliquer sur la ligne pour modifier la valeur..

Il faut ajouter –ssl-version-min=tls1 dans toutes les lignes qui commencent par “Exec=” dans le fichier de configuration (/usr/share/applications/chromium-browser.desktop sur ubuntu) ⁵⁾

/usr/share/applications/chromium-browser.desktop

Exec=chromium-browser --ssl-version-min=tls1 %U 
Exec=chromium-browser --ssl-version-min=tls1
Exec=chromium-browser --incognito --ssl-version-min=tls1
Exec=chromium-browser --temp-profile --ssl-version-min=tls1

Tapez la commande suivante en ligne de commande, en remplaçant labs.core-cloud.net par l'URL du site à tester :

openssl s_client -connect labs.core-cloud.net:443 -ssl3 

Si vous obtenez une réponse du type “handshake failure”, c'est bon :

140333026707104:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140333026707104:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:

Sinon, c'est que le serveur n'a pas été mis à jour :

depth=2 C = US, ST = UT, L = Salt Lake City, O = The USERTRUST Network, OU = http://www.usertrust.com, CN = UTN-USERFirst-Hardware