Suite à une discussion sur LinuxFR.org, je me suis demandé si l’utilisation de TLS était répandue parmi les émetteurs de courriers. J’ai donc regardé les logs de mon propre serveur SMTP, et voici ce que ça donne sur une période d’un mois.
| Type de connexion | Nombre | En % |
| En clair | 297 | 14 % |
| SSL v3 | 1 | < 0.1 % |
| TLS v1 | 194 | 9 % |
| TLS v1.2 | 1680 | 77 % |
J’ai été assez surpris de constater que ① la majorité des connexions (86 %) sont chiffrées, et ② la plupart des connexions chiffrées utilisent la dernière version 1.2 du protocole TLS. Non seulement la prise en charge de STARTTLS est beaucoup plus répandue que ce que je croyais, mais en plus les clients SMTP qui offrent cette prise en charge ne se limitent pas à une version obsolète.
Une seule machine a tenté de se connecter avec SSL v3 — la
négociation a tourné court puisque mon serveur ne propose que TLS v1 au
minimum ; le client s’est ensuite reconnecté sans STARTTLS,
et a donc transmis son message en clair.1
Tous les autres clients qui ont envoyé leurs messages en clair n’ont même pas tenté de négociation TLS en premier lieu. Ce sont probablement des machines ne supportant pas du tout ni SSL ni TLS.
Je conclus de ces chiffres que refuser les connexions SSL v3 ne pose aucun problème à la quasi-totalité des clients. La prise en charge de SSL v3 ouvrant par ailleurs la porte à de possibles downgrade attacks, il n’y a à mon avis aucune raison de conserver ce protocole.
| Suite de chiffrement | Nombre | En % |
| DHE-RSA-AES256-GCM-SHA384 | 866 | 46 % |
| ECDHE-RSA-AES256-GCM-SHA384 | 436 | 23 % |
| DHE-RSA-AES128-SHA | 338 | 18 % |
| DHE-RSA-AES256-SHA | 178 | 9 % |
| ECDHE-RSA-AES128-GCM-SHA256 | 35 | 2 % |
| ECDHE-RSA-AES128-SHA | 12 | 0.6 % |
| ECDHE-RSA-AES256-SHA384 | 6 | 0.3 % |
| ECDHE-RSA-AES256-SHA | 2 | 0.1 % |
| DHE-RSA-CAMELLIA256-SHA | 1 | < 0.1 % |
Du côté des suites de chiffrement utilisées lors de ces transactions, autre bonne surprise, elles ne contiennent que des algorithmes de qualité et des clefs de bonne taille (aucune clef symmétrique inférieure à 128 bits). Les algorithmes de condensation de la famille SHA-2 (SHA256, SHA384) sont majoritaires par rapport à SHA-1.
Par ailleurs, toutes ces suites utilisent un échange Diffie-Hellman éphémère (dans sa forme classique ou sa variante basée sur des courbes elliptiques), ce qui signifient qu’elles offrent toutes la confidentialité persistante (forward secrecy).
Je ne prétends pas que ces chiffres, correspondant à ce que voit mon serveur, soient représentatifs de ce qu’on trouve sur l’Internet, mais l’état de la cryptographie dans le monde SMTP me semble tout de même plus engageant que je ne l’aurais cru.