Microsoft a annoncé qu’il désactiverait par défaut les versions les plus anciennes du protocole TLS (Transport Layer Security) dans Edge et Internet Explorer 11 en 2020.
Microsoft a annoncé qu’il désactiverait par défaut les versions les plus anciennes du protocole TLS (Transport Layer Security) dans Edge et Internet Explorer 11 en 2020. Le groupe a indiqué dans un article de blog que cette initiative visait à « améliorer la sécurité de l’expérience de navigation pour tout le monde » et il avertit à l’avance que les quelques sites Web qui s’appuient toujours sur TLS 1.0 et 1.1 peuvent passer aux versions plus récentes avant le basculement.
TLS 1.0 a presque 20 ans et, s’il a été développé pour sécuriser les connexions Web, les versions suivantes sont devenues plus avancées, le rendant largement obsolète. Selon SSL Labs, 94% des sites Web prennent en charge TLS 1.2 et Microsoft indique que moins de 1% des connexions Microsoft Edge quotidiennes utilisent TLS 1.0 ou 1.1. De plus, le groupe de travail d’ingénierie Internet a approuvé TLS 1.3 plus tôt cette année et devrait rendre obsolètes les versions 1.0 et 1.1 de TLS dans un avenir proche.
« Bien que nous n’ayons pas connaissance de vulnérabilités majeures liées à nos implémentations récentes de TLS 1.0 et TLS 1.1, des implémentations tierces vulnérables existent », a déclaré Microsoft. « Le passage à de nouvelles versions permet de sécuriser le Web pour tout le monde. » La société envisage de désactiver TLS 1.0 et 1.1 par défaut dans Microsoft Edge et Internet Explorer 11 au cours du premier semestre de 2020.
Du côté de chez Google, Chrome 72 cessera de prendre en charge les versions 1.0 et 1.1 de TLS au cours du premier semestre de l’année prochaine, tandis que les navigateurs Safari d’Apple, Firefox de Mozilla, suivront Edge et Internet Explorer 11 de Microsoft et abandonneront la prise en charge des deux versions du protocole un an plus tard, au premier semestre de 2020.
En tant qu’utilisateur, vous n’avez rien à faire. Les navigateurs et les applications que vous utilisez fonctionneront exactement comme avant. Ils utilisent probablement déjà la version 1.2. Mozilla a partagé un tableau montrant que seule une infime partie des connexions que la fondation voit utilise les versions précédentes: