Update : 9 juillet 2015
La mise à jour de Firefox 39 (3 juillet 2015) supprime purement et simplement SSLv3.
Il n’est désormais plus possible d’accéder à un site utilisant ce vieux protocole avec les dernières versions du navigateur.
Par la même occasion, il désactive aussi RC4.

http://news.slashdot.org/story/15/07/03/1426226/firefox-39-released-bringing-security-improvements-and-social-sharing

Introduction

Problème rencontré

Lorsque, sous Firefox, nous essayons de nous connecter à certains sites internet à l’aide du protocole https://, nous obtenons parfois une page d’alerte de ce type avec le message d’erreur :

Impossible d’établir une connexion sécurisée

Firefox ne peut garantir la sécurité de vos données sur le site xxxxxxxxxx car il utilise SSLv3, un protocole de sécurité non fiable.

Détails de l’erreur : ssl_error_unsupported_version

A première vue, Firefox n’autorise aucune alternative pour passer outre ce message. Ce qui est fort fâcheux lorsqu’il s’agit, dans mon cas, du site qui héberge les plannings de travail de mon entreprise.

Au bas de la page, le bouton « En savoir plus… » nous conduit à cette page :
https://support.mozilla.org/fr/kb/que-signifient-messages-erreur-sslv3-firefox-que-faire

Causes

En réalité, Firefox est parfaitement en mesure d’afficher la page. Mais depuis la version 34, sortie le 25 novembre 2014, la Fondation Mozilla a décidé de désactiver purement et simplement SSLv3.

Et pour cause, le protocole SSLv3 (la version la plus récente) est vieux de presque 20 ans. En effet, les premières spécifications de la version 1.0 ont été publiées en 1994, la version 2.0 a été implémentée pour la première fois dans un navigateur au début 1995 et la version 3.0 a été libérée fin 1996.

Mais le problème de SSLv3 n’est pas son âge, mais sa vulnérabilité à une attaque de type « homme du milieu« .

En effet, en octobre 2014 des chercheurs en sécurité de Google ont publié un rapport indiquant que cette faille, nommée « POODLE« , permettait de déchiffrer les informations échangées entre le navigateur Web de la victime et un serveur sécurisé.

La faille SSLv3 n’étant pas « colmatable », il est nécessaire de migrer les serveurs vers des protocoles plus récents comme TLS v1.2

C’est donc pour obliger les administrateurs de sites web à se tourner vers des solutions plus récentes et, par la même occasion, protéger leurs utilisateurs, que les éditeurs de navigateurs web ont désactivé la prise en charges de SSLv3.

Résolution

Pour recouvrer l’accès aux pages https:// en SSLv3, nous allons modifier les paramètres de configuration de Firefox.

Dans la barre URL, nous allons taper : about:config

En fonction de la version de Firefox, vous aurez ou pas le message d’avertissement ci-dessous :

Puis, dans le champ « Rechercher », nous allons inscrire : security.tls.version.min

La valeur par défaut de l’option est « 1« .
Ce qui indique à Firefox d’utiliser au minimum TLS et donc d’ignorer SSLv3 et antérieures.

Nous allons modifier la valeur et la mettre à « 0« .

Ceci aura pour effet d’autoriser Firefox à utiliser SSLv3 pour se connecter aux sites qui le demandent.

Voilà, c’est fait !

Un petit tour sur le site récalcitrant et tout devrait être rentré dans l’ordre.

Attention !

Veillez à remettre l’option à « 1 » dès que vous avez terminé votre visite sur le site web SSLv3.

Ceci vous permettra de naviguer en toute confiances par la suite.

Références :

http://www.nextinpact.com/news/90427-la-faille-poodle-sslv3-permet-decrypter-donnees-sur-connexion.htm
https://www.bfccomputing.com/re-enable-sslv3-on-firefox-34/