Microsoft a commencé la semaine en annonçant la fin de la prise en charge des versions 1.0 et 1.1 du protocole de sécurité TLS dans Edge et dans Internet Explorer. Chrome, Firefox et Safari suivront le même chemin. La raison ? Ces versions sont si anciennes qu’elles ne peuvent plus être considérées comme sûres.
Fondamentalement, le TLS (Transport Layer Security) est un protocole qui protège l’échange de données entre le client (votre ordinateur, par exemple) et le serveur grâce au cryptage. Cette norme a succédé à la norme SSL (Secure Socket Layer).
Le problème est que la première version officielle, le TLS 1.0, a été mise à disposition il y a près de 20 ans. À l’époque, les exigences de sécurité n’étaient pas aussi avancées qu’aujourd’hui. Le TLS 1.1 a été publié en 2006 et a apporté d’importantes avancées. Cependant, pour les normes actuelles, cette version est également obsolète.
C’est pourquoi, à partir de 2020, TLS 1.0 et TLS 1.1 ne seront plus pris en charge par aucun des principaux navigateurs du marché : Chrome, Firefox, Safari, Internet Explorer et Edge.
Mais la décision ne doit pas causer trop d’inconvénients. Comme le souligne Mozilla, le nombre actuel de connexions utilisant les anciennes versions de TLS est très faible. Le graphique de l’organisation indique qu’aujourd’hui plus de 90% des connexions sont basées sur le TLS 1.2.
Il ne faudra peut-être pas longtemps avant que le TLS 1.2 soit également abandonné. Bien que cette version soit dominante, elle a dix ans d’existence et, pour cette raison, est déjà considérée comme dépassée.
Aujourd’hui, l’accent est mis sur la TLS 1.3. Cette version a été finalisée en août 2018 et apporte donc les attributs nécessaires à la sécurité des applications web actuelles. Pas pour moins, TLS 1.3 est déjà soutenu par de grandes entreprises technologiques comme Cloudflare, Facebook et Google.
Les navigateurs prennent déjà en charge la nouvelle version de TLS. Dans Firefox, par exemple, TLS 1.3 sera officiellement pris en charge à partir de la version 63, qui sortira plus tard ce mois-ci (les projets de spécifications étaient déjà pris en charge).
Dans Chrome, la version 70 sera la version définitive. Edge est déjà en préparation pour prendre en charge TLS 1.3, de même que Safari (et probablement d’autres logiciels basés sur WebKit).