Arrêt des protocoles TLS 1.0 et 1.1

26 juin 2018

Compte tenu des récentes décisions du PCI Council en matière de sécurisation des données, il nous est obligatoire en tant que prestataire de paiement de restreindre les protocoles TLS que nous offrons en version 1.2. Cette mesure vaut pour tous nos points d’accès (https ou autres sauf exception notoire) ; elle est donc imposée à tous les prestataires de services de paiement certifiés PCI DSS comme PayZen. Cette évolution sera effective à partir du 7 août 2018.
C’est pourquoi, pour la bonne continuité de votre activité et le bon fonctionnement des services de PayZen, nous vous invitons à :

POUR TOUS LES MARCHANDS ET LEURS ACHETEURS

Vos acheteurs qui utilisent un navigateur non compatible avec TLS v1.2, ne pourront finaliser leur paiement (blocage du navigateur ou message d’erreur). N’hésitez pas à conseiller à vos clients de mettre à jour leur navigateur. En tant que e-commerçant, vous pourriez minimiser le risque de perte de transactions en conseillant à vos utilisateurs de mettre à jour leurs navigateurs.

POUR LES MARCHANDS UTILISANT LE BACK OFFICE

Vérifiez que votre navigateur soit compatible TLS 1.2 Dans le cas contraire, vous ne pourrez pas accéder au Back Office.

POUR LES MARCHANDS UTILISANT LES IPN / NOTIFICATIONS INSTANTANEES

Vérifiez que la configuration de votre serveur traitant les IPN soit compatible TLS 1.2

POUR LES MARCHANDS UTILISANT LES WEBSERVICES

Vérifiez que votre implémentation des Webservices soit compatible TLS 1.2

Liste des navigateurs non compatible TLS 1.2 (non exhaustive)

  • Internet Explorer :
    > IE 10 et versions antérieures
    Il est possible de passer à TLS V1.2 dans les réglages du menu « Outils » : « Options Internet », « Avancé »
    > IE Mobile : sous Windows Phone 8.0 et antérieurs
  •  Android OS browser : sous Android 4.4 KitKat (dernière version : 4.4.4 du 19/06/2014) et antérieurs.
  • Safari : sous OS X 10.8 Mountain Lion (dernière version : 10.8.5 du 12/09/2013) et antérieurs.
  • Google Chrome : sous Windows (7+), OS X (10.9+), Linux, Android (4.1+), iOS (9.0+), Chrome OS version 30-32 et antérieurs.
  • Mozilla Firefox :
    – Mozilla Firefox : sous Windows (7+), OS X (10.9+), Linux, Android (4.0.3+), iOS (9.0+) versions 24 et ESR24.0 et antérieurs.
    – Pour les versions 24, 25.0.0, 25.0.1, 26 ESR24.0-ESR24.1.0, ESR24.1.1, il est possible de passer à TLS V1.2 dans le paramétrage de Mozilla.

Une liste plus détaillée est disponible sur https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_Browsers

Pourquoi cette migration est-elle nécessaire ?

Le PCI Council a annoncé l’arrêt des protocoles TLS dans ses versions 1.0 et 1.1 pour garantir des standards de sécurité suffisants aux échanges de données. Le protocole cryptographique Transport Layer Security (TLS), anciennement Secure Sockets Layer (SSL), garantit la sécurité des échanges de données entre applications et leurs utilisateurs sur internet. Cela permet notamment qu’aucun tiers n’aie accès au contenu lors de ces échanges.

Après la récente découverte de failles dans les versions antérieures de TLS, il a été décidé l’arrêt des protocoles TLS 1.0 et 1.1 pour ne conserver que la version 1.2 –  qui deviendra le seul standard valide.