Important : changement de protocole TLS
... / Important : changement de...
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
question

Important : changement de protocole TLS

Par
EmmanuelM1
Créé le 2021-10-22 14:20:05 (edited on 2024-09-04 14:10:43) dans Hébergement Web-old

> Bonjour,

> Vous utilisez actuellement un service recourant au protocole TLS 1.0/1.1 Nous vous informons que ces versions ne seront bientôt plus maintenues. Dès mi-octobre 2021 en effet, seules les versions à partir du protocole TLS 1.2 seront supportées.

> Cette évolution progressive s’effectuera selon cet agenda :

> mi-octobre 2021 : fin de TLS 1.0 ;
> début février 2022 : fin de TLS 1.1.
> Veuillez vérifier la mise à jour et la compatibilité de votre système avec cette nouvelle version de TLS. Vous vous assurez ainsi du bon fonctionnement de vos configurations actuelles.

> Nous vous remercions pour la confiance que vous nous accordez.

> L’équipe OVHcloud



j'ai reçu ça mais quel service, quoi ? où ? comment ? kesako ?
J'ai sais pas quoi chercher ni quoi modifier...
Quelqu'un aurait des infos ?


40 réponses ( Latest reply on 2021-10-29 10:29:24 Par
SpidocS
)

Je pense que le support d'OVH s'ennuie et ils ont décidé d'envoyer un message flou sans préciser de quel service ils parlent histoire d'inquiéter un maximum de personne.

Pas mal comme théorie :)

Tout pareil ! Si quelqu’un peut aider ;)

Bonjour,

ce serait pas des sites qui font des curl ou autre demande extérieur sur des sites en TLS1.0/1.1 ?

Cordialement, janus57

en effet j'ai des tache cron qui font des curl, mais j'ai pas défini de TLS spécial, donc ça doit etre celui par defaut qui est effectué

Même chose pour moi. J'aimerais bien savoir comment vérifier si je suis concerné et faire les modifications nécessaires...

Bonjour,


en effet j'ai des tache cron qui font des curl

avec l'adresse du site distant ça devrais être possible de vérifier quel protocoles sont disponible.

Cordialement, janus57

idem.
malheureusement, je ne trouve pas de guide indiquant la marche à suivre pour faire la mise à jour depuis le protocole TLS 1.0/1.1 vers le 1.2 ou ultérieur.
Si quelqu'un trouve le guide ou connait la manipulation, merci de poster le lien ici :-)

oui, tout ce qui est pour les paiements bancaire par exemple.
Là ou je tique c'est que TLS 1.2 c'est configuré depuis Wheezy chez moi... (avec désactivation du 1.0 et 1.1)

Pour ceux qui on des dédiés cela se passe au niveau de la conf du module SSL d'Apache :
`SSLProtocol TLSv1.2`

Ou alors je loupe quelque chose ?


Je pense que le support d'OVH s'ennuie et ils ont décidé d'envoyer un message flou sans préciser de quel service ils parlent histoire d'inquiéter un maximum de personne.

Bonjour à tous,

Je me demande si cela ne concerne pas, entre autres, les transferts FTP qui doivent être réalisés en SFTP.


oui, tout ce qui est pour les paiements bancaire par exemple.
Là ou je tique c'est que TLS 1.2 c'est configuré depuis Wheezy chez moi... (avec désactivation du 1.0 et 1.1)

Pour ceux qui on des dédié cela se passe au niveau de la conf du module SSL d'Apache :
SSLProtocol TLSv1.2

oui sauf que là à mon avis ce mail a été envoyé à tous ceux qui ont un MUTU, car sur un dédié/vps/non managé OVH s'en contre balance c'est pas à eux de gérer.

Cordialement, janus57

Des clients qui n'ont que le domaine l'ont également reçus (et reviennent vers moi du coup).

Le message super inquiétant un vendredi fin d’après midi...

Bonjour,

voilà la réponse de OVH sur twitter :
[quote]
Ce mail concerne nos solutions mails.
Si vous n'utilisez pas ces versions avec votre client de messagerie, vous ne serez pas impacté, sinon, il va falloir reconfigurer le logiciel avec les bonnes informations.
[/quote]
Cf : https://twitter.com/ovh_support_fr/status/1451567064607494148

Donc cela concerne tous ceux qui ont des compte mails et qui utilisent un vieux client de messagerie (pour faire court).

Cordialement, janus57

EDIT : message inutile. Réponse donné par @janus57

Ha voilà, les mailer. Je comprend mieux.
Merci @janus57

Effectivement ! Merci beaucoup.

Bonjour Janus57 :)
**Je me permets la question :** je suis nouvelle ici et je viens d'ouvrir mon hébergement avec OVH. Je suis un peu perdue suite à la réception de cet e-mail. Dans le genre flippe un vendredi fin d'après-midi... et personne chez OVH pour vous répondre par tel. Mon client de messagerie est GMAIL. C'est-à-dire celui qui reçoit mes emails contact@monnomdedomaine.com, en redirection. J'ai beau chercher partout dans les paramètres de GMAIL, je vais finir par le frapper... car je ne trouve rien, riressss :) Vous parlez que de vieux clients de messagerie à mettre à jour avec ce protocole TLS 1.2... Donc, normalement, GMAIL c'est ok ? Il n'y a rien à faire ? Je débute donc... j'ai des questions peut-être un peu naïve... hihihi... Merci d'avance si jamais vous passez par là... et bon wik à tous. Maryline :)

Carrément :) :) :) Ils sont gravesss... mais en attendant, je redemande une précision à Janus57 car j'ai un doute vu que j'ai GMAIL en client messagerie... (j'espère ne pas dire de petites bêtises... je débute.... Voir mon comm sur Janus57 ...). Bon we à vous :) Maryline

Bonjour,

aucune idée de ce que vous appelez "client Gmail" car en même temps vous parlez de redirection.

Ce qu'on appel client ici c'est TOUS les logiciel (qu'ils soient sur PC/Mobile) qui servent à lire vos mails.

Cordialement, janus57

Oui, oui... on parle de la même chose... "client de messagerie", terme que vous utilisez, est la messagerie GMAIL. Ce que je comprends dans le message TWITTER que vous avez remis ici, c'est qu'il faut reconfigurer sa messagerie en protocole TLS 1.2 si c'est une vieille messagerie (ex : outlook ?) ... et cette messagerie sert bien à recevoir les adresses emails de l'hébergement de son site web qui sont configurées en redirection. Ex : monsite.com a une adresse pro, contact@monsite.com, dont les messages sont redirigés vers mon adresse email perso, soit maryline@gmail.com ... est-ce que j'ai mal compris ? C'est bien la messagerie qui reçoit dont il faut vérifier les paramètres ce protocole ? S'il est sur TLS 1.0 ou 1.1, il faut reconfigurer en TLS 1.2, non ? Si oui, est-ce que la messagerie GMAIL est donc concernée ? Si oui, comment fait-on ? **Est-ce que d'autres personnes peuvent nous dire svp ? UN BIG MERCI à tous :)**

**Oui, oui... on parle de la même chose...** "client de messagerie", terme que vous utilisez, est la messagerie GMAIL. Ce que je comprends dans le message TWITTER que vous avez remis ici, c'est qu'il faut reconfigurer sa messagerie en protocole TLS 1.2 si c'est une vieille messagerie (ex : outlook ?) ... et cette messagerie sert bien à recevoir les adresses emails de l'hébergement de son site web qui sont configurées en redirection. Ex : monsite.com a une adresse pro, contact@monsite.com, dont les messages sont redirigés vers mon adresse email perso, soit maryline@gmail.com ... est-ce que j'ai mal compris ? C'est bien la messagerie qui reçoit dont il faut vérifier les paramètres ce protocole ? S'il est sur TLS 1.0 ou 1.1, il faut reconfigurer en TLS 1.2, non ? Si oui, est-ce que la messagerie GMAIL est donc concernée ? Si oui, comment fait-on ? **Est-ce que d'autres personnes peuvent nous dire svp ? UN BIG MERCI à tous :)**

Bonjour,

alors plusieurs choses :
1 - éviter de poster 2x le même message (car les nouveaux inscrit sont limité en terme de messages et ça sert à rien de le mettre 2 fois)
2 - Si vous avez seulement et uniquement une redirection (configuré dans l'espace client OVH donc), alors non aucun client de messagerie ne doit se connecter chez OVH.
3 - Si ce n'est pas vraiment une redirection mais Gmail qui viens se connecter chez OVH pour récupérer vos mails alors c'est à Gmail qu'il faut poser la question de la version TLS utilisé.
4 - Vous avez une application tiers qui se connecte à votre compte de messagerie chez OVH.
5 - la méthode la plus simple pour savoir qu'est-ce qui se connecte chez OVH en directe est de changer le mot de passe de la messagerie chez OVH, comme ça dès qu'un logiciel va vous demander un mot de passe vous aller savoir qu'il se connecte chez OVH et que c'est lui ou qu'il faut regarder la configuration.

Note : pour moi le client Gmail c'est une des possibilités suivante :
1 - https://play.google.com/store/apps/details?id=com.google.android.gm&hl=fr&gl=US
2 - https://apps.apple.com/fr/app/gmail-la-messagerie-google/id422689480

Si pour vous gmail c'est "https://gmail.com" ou une application sur le PC vous êtes dans le cas "3" et/ou "4" cité juste au dessus.

Cordialement, janus57

Coucou :) Pour faire suite à mes réponses précédentes (voir sur Janus57)... comme j'utilise la messagerie GMAIL pour faire mes redirections d'emails de mon site web hébergé chez OVH, j'ai fouiné sur le net et j'ai trouvé ça, concernant cette histoire de protocole TLS 1.2 et ça complète ce que dit le message de OVH sur Twitter... et en effet, seuls les vieilles boites de messagerie ( "clients de messagerie") peuvent être concernées si identifiées sur du protocole TLS 1.0 et 1.1. Il semble que cela ne concerne pas GMAIL (ce qui n'est pas surprenant). Ici, (https://support.google.com/a/answer/6180220?hl=fr) il est précisé que :

**Autres moyens d'accéder aux certificats TLS**

Si vous souhaitez utiliser une autre méthode d'accès aux certificats, effectuez une recherche sur les termes extraction certificat serveur TLS.

Veuillez noter les éléments suivants à propos des certificats TLS :

Les certificats sont signés par l'autorité de certification GlobalSign-R2 (GS Root R2)
Vous pouvez faire toute confiance aux certificats répertoriés sur la page https://pki.goog/roots.pem.
Les certificats sont partagés sur plusieurs hôtes.
Tout jeu de certificats comporte une date d'expiration. De nouveaux certificats sont générés avant cette date. Pendant leur déploiement, vous pouvez utiliser les anciens comme les nouveaux pour établir une connexion.

**Les messages échangés entre clients et serveurs Gmail sont chiffrés à l'aide du protocole TLS 1.2 via une connexion HTTPS 128 bits. La connexion est chiffrée et authentifiée via AES_128_GCM. Le mécanisme d'échange de clés est ECDHE_RSA.**

**Les communications entre des clients et des serveurs Gmail et non-Gmail sont chiffrées à l'aide de SSL 3 via TLS 1.2. Le client peut ainsi choisir entre différents algorithmes de chiffrement, échanges de clés et longueurs de clé.**

Les longueurs compatibles sont 112/168 bits pour DES, 128 bits pour RC4, et 128 ou 256 bits pour AES (Advanced Encryption Standard).

Bon we :)

**Alors, je suis désolée, Janus57...** pour avoir posté le message deux fois de suite... C'est une erreur sans le vouloir. VRAIMENT. Je viens juste de le voir. Je suis nouvelle, ici. J'essaye de le supprimer. Merci de votre sympathique et complète réponse.

Bon we à vous,
Maryline :)

Bonjour,
Je ne suis pas du tout dans le domaine de l'informatique, mais je dois assurer la maintenance de mon site sous WP et de mon mail pro.
Svp, je voudrai être sûre d'avoir bien compris vos échanges précédents au sujet de protocole TLS 1.2.
Si j'utilise Thunderbird (TB) comme logiciel de messagerie pour mon compte mail (celui lié à mon nom de domaine hébergé chez OVH), je dois vérifier que ma version de TB utilise bien le protocole de sécurité TLS 1.2 ?
Et ayant la dernière version de TB régulièrement mise à jour, d'après ce que je peux lire https://support.mozilla.org/fr/kb/faq-thunderbird-78 ici TB utilise bien TLS 1.2.
Est-ce bien cela ?
Merci d'avance.
Cécile

Bonjour,


je dois vérifier que ma version de TB utilise bien le protocole de sécurité TLS 1.2 ?

c'est ça, mais du moment que vous avez une version à jour il le supporte, il faut juste être sûr que vous n'utilisez pas d'autre logiciel ailleurs qui eux pourrait encore utiliser du vieux TLS.

Cordialement, janus57

Voici la réponse du notre assistant robot :
"Nos hébergements supportent le TLS 1.2 et le HTTP/2.

Pour effectuer le passage en TLS 1.2:
Rendez vous dans votre espace client
Cliquez sur hébergement puis celui désiré.
Cliquez sur "Modifier la configuration" puis "Modifier la configuration courante".
Changez l'environnement d’exécution en "Stable" et Validez."

Bonjour,

Je ne trouve pas "Modifier la configuration", dans quel menu est cette commande ? Est-il possible d'avoir une capture d'écran pour s'y retrouver ?

Merci


Oui effectivement c'était pas très clair...

Bonjour à tous(tes),

Je CROIS (je dis bien je crois :p) avoir trouvé la solution pour vérifier si votre site supporte la version TLS 1.2. Connectez-vous https://www.ssllabs.com/ssltest/ **ici**, entrez votre nom de domaine et attendez (environ 3min). Cliquez sur le premier encart et dans la partie "Protocole", le logiciel vous donnera votre version TLS actuelle et les versions supportées dans le futur.

Voilà, j'espère avoir réussi à vous rassurer :)

Merci pour la capture d'écran, c'est beaucoup plus facile comme ça !
Par contre, j'ai été obligé de repasser en PHP 7.3 alors que j'étais en 7.4 et cette version va bientôt arriver en fin de vie...



Changement fait et me voilà instantanément avec un message d'avertissement de Wordpress...

Bonjour,

Petit rappel : le mail concerne SEULEMENT les mails :
[quote]
Ce mail concerne nos solutions mails.
Si vous n'utilisez pas ces versions avec votre client de messagerie, vous ne serez pas impacté, sinon, il va falloir reconfigurer le logiciel avec les bonnes informations.
[/quote]
Cf : https://twitter.com/ovh_support_fr/status/1451567064607494148

Donc cela concerne tous ceux qui ont des compte mails et qui utilisent un vieux client de messagerie (pour faire court).

Cordialement, janus57

Super ! Merci beaucoup pour ta réponse @janus57

Salut sympa tout ça. Mais moi je n'arrive plus à me connecter sur word press,
depuis lundi est-ce en lien avec ce changement?
Dois-je faire le changement s'après mon compte OVH, car si c'est de word press dur pour moi.
J'ai dû faire 10 demande de "code oublié"
merci d'avance Nathalie.

Bonjour @janus57;
J'ai bien suivi le fil de votre conversation.
Mes mails sont hébergés chez ovh et je passe directement par ovh sans autre intermédiaire
Comment savoir si c'est ok ?
Merci

Vous passez par le web mail ?
Alors c'est OK.

Rien à voir.
Ouvrez un nouveau sujet si vous souhaitez de l'aide

Bonjour,


Salut sympa tout ça. Mais moi je n'arrive plus à me connecter sur word press,

rien à voir avec ce fil, ouvrez le vôtre avec toute les informations pour vous aider.


Mes mails sont hébergés chez ovh et je passe directement par ovh

c'est à dire ?

Note : je pense que si vous avez un compte de renseigné sur un équipement tel qu'une imprimante cela doit rentrer dans les périphériques qui fait du TLS et peut être pas du TLS1.2 si c'est un ancien modèle et/ou un modèle non à jour en terme de firmware.

Cordialement, janus57

Oui c'est bien le webmail dont je parle.
Merci