SSLeuth : petit add-on pour Firefox simplifiant la lecture des certificats https et donnant une note à leur solidité. Devrait être systématiquement installé si vous êtes attentif aux certificats des sites visités.

cr  20.11.2017      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

SSLeuth est un add-on au navigateur WEB Firefox qui mesure, de 0 à 10, la puissance de chiffrement utilisée dans une connexion HTTPS (SSL/TLS) établie. Il fournit également un résumé des paramètres importants d'une connexion SSL/TLS.

SSLeuth est open source et gratuit.

SSLeuth installe un petit bouton, à l'extrême gauche de la barre d'adresse de Firefox, permettant de lire le contenu du certificat SSL/TLS utilisé par le site WEB visité et afficher la note attribuée à la qualité de la sécurisation (du chiffrement) de cette connexion.

Firefox sans SSLeuth

Firefox avec SSLeuth

L'installation est immédiate et il n'est pas nécessaire de redémarrer Firefox.

SSLeuth facilite la vie plutôt que de se balader dans un certificat qui est, par nature, peu lisible.

Firefox avec SSLeuth - panneau d'informations en 1 clic

SSLeuth dispose d'un bouton « Copier dans le presse-papiers » - « Très bien ! », je dirais même plus : « Génial ! » lorsque l'on a de la documentation à écrire.

SSLeuth dispose d'une clause de politique de confidentialité que l'on ne peut qualifier autrement que : « Très bien ! » et que l'on aimerait voir, à l'identique, dans toutes les applications et tous les add-ons de tous les navigateurs et systèmes d'exploitation (serveurs, stations de travail, appareils fixes et mobiles, IoT, etc.).

Le projet SSLeuth gère une liste de suites de chiffrement fournies dans Firefox et un classement pour chacune d'elles (d'où la réponse rapide/instantanée de SSLeuth). Les classements sont principalement inspirés de l'outil de test de serveurs SSL/TLS du laboratoire « SSL tests labs » de Qualys (ce service en ligne, gratuit, analyse en profondeur la configuration de tout serveur WEB SSL/TLS sur l’Internet public, mais cela peut prendre plusieurs minutes [4 à 5 minutes].).

SSLeuth utilise le résultat d'analyse du SSL tests labs de Qualys (SSL report)

Les tests du SSL tests labs sont destinés aux serveurs Web et sont bien plus sophistiqués qu’un service de classement des chiffrements comme SSLeuth. Cependant, pour savoir quels algorithmes de chiffrement sont utilisés lorsqu'un utilisateur se connecte à un site WEB, le support du navigateur et/ou un add-on sont nécessaires, d'où l'existence de SSLeuth.

Firefox a commencé à exposer le nom complet de la suite de chiffrement à partir de sa version 25.0. En l'absence de l'add-onSSLeuth au navigateur WEB Firefox, il faut à l'utilisateur faire 18 clics pour voir les données d'un certificat, dont la suite de chiffrement :

Firefox - Acceder aux informations du certificat SSL/TLS en l'absence de SSLeuth

Firefox - Acceder aux informations du certificat SSL/TLS en l'absence de SSLeuth - étape 1

Firefox - Acceder aux informations du certificat SSL/TLS en l'absence de SSLeuth - étape 2

Firefox - Acceder aux informations du certificat SSL/TLS en l'absence de SSLeuth - étape 3

Firefox - Acceder aux informations du certificat SSL/TLS en l'absence de SSLeuth - étape 4

Firefox - Acceder aux informations du certificat SSL/TLS en l'absence de SSLeuth - étape 5

Firefox - Acceder aux informations du certificat SSL/TLS en l'absence de SSLeuth - étape 6

Avec SSLeuth, l'utilisateur peut voir très simplement la suite de chiffrement utilisée pour la connexion et l'évaluation de la puissance du chiffrement.

SSleuth tente d’améliorer la visibilité des chiffrements pour l’utilisateur, en les classant et en les codant par couleur appropriée. Le panneau complémentaire fournit également des informations sur le secret du transfert parfait, le statut de la connexion Firefox et les détails du certificat.

SSLeuth n'est pas compatible avec les versions 57 (Quantum, le 14 novembre 2017) et suivantes de Firefox.

Septembre 2018 : SSLeuth devrait être mis à jour pour être supporté par les nouvelles versions de Firefox. Son auteur explique qu'il est occupé mais laisse ouverte une porte. Le code source est disponible publiquement.

• Web extensions: SSL (TLS) status API request (sur bugzilla.mozilla.org)
  
• Web extensions are the future (page 78)
• Le projet open source SSLeuth : https://github.com/sibiantony/ssleuth
  
• Le 7 décembre 2016, par l'auteur de SSLeuth : Malheureusement, je n'ai pas assez de temps pour porter / maintenir.
  
• webRequest TLS Introspection API Extension Propsal (par l'EFF sur Github le 4 avril 2017)
  https://github.com/EFForg/webrequest-tl ... roposal.md
  
• L'auteur le 26 mai 2018 :
  Firefox 62 est prévu pour le 5 septembre 2018. J'espère rendre une version initiale disponible pour la bêta (juillet).
  
• L'auteur le 2 septembre 2018 :
  Les gars, je n'ai pas pu dégager assez de temps pour cela. Des choses m'ont occupé. Le plan de migration est toujours activé, mais sera lent.
  
• Une extension indiquée par un contributeur il y a 4 jours (19 juillet 2019)
  https://addons.mozilla.org/en-GB/firefox/addon/indicatetls/
  https://github.com/jannispinter/indicatetls
  
• L'auteur, le 21 juillet 2019
  Toutes mes excuses à la communauté pour le retard. Je n'ai pas essayé l'addon ci-dessus, mais ça a l'air bien. "Certainement quelque chose" qui est un autre bon ajout que je recommanderais. La seule différence que SSleuth peut offrir est le calibrage. Encore une fois, désolé les gars.

Nous sommes en version 68.0.2 de Firefox et SSLeuth n'est toujours pas porté sur les nouvelles version de Firefox. Voilà où nous en sommes avec SSleuth le 23 août 2019.