C'est un consensus entre Apple, Google, Microsoft et Mozilla qui annoncent la désactivation de la prise en charge des versions 1.0 et 1.1 de TLS (Transport Layer Security) dans leurs navigateurs respectifs : Safari, Google Chrome, Microsoft Edge (et Internet Explorer) et Firefox. Ce n'est pas à effet immédiat. La page sera définitivement tournée à partir de mars 2020.

Cet été, la norme TLS 1.3 a été publiée. La publication de la norme TLS 1.2 remonte pour sa part à août 2008. La publication de la norme TLS 1.1 date d'avril 2006, tandis que TLS 1.0 fêtera son vingtième anniversaire en janvier prochain.

TLS est un protocole cryptographique qui a pris la succession de SSL (Secure Sockets Layer) pour la sécurisation des échanges de données sur Internet avec l'authentification et le chiffrement des données en transit. TLS gère la sécurisation des connexions HTTPS.

La norme TLS 1.2 avait été publiée pour pallier des faiblesses dans TLS 1.0 et 1.1. En outre, ces anciennes versions s'appuient sur MD5 et SHA-1 qui ne sont plus considérés sûrs. L'Internet Engineering Task Force (IETF) travaille sur la dépréciation de TLS 1.0 et 1.1.

La vulnérabilité est toutefois variable en fonction de l'implémentation. " Bien que nous n'ayons pas connaissance de vulnérabilités importantes avec nos implémentations actuelles de TLS 1.0 et TLS 1.1, des implémentations tierces vulnérables existent ", écrit ainsi Microsoft.

Selon Google, seulement 0,5 % des connexions HTTPS avec Chrome utilisent actuellement TLS 1.0 ou 1.1. Un taux de 0,1 % pour les connexions avec TLS 1.1 avec Firefox.

Citant des données de SSL Labs (Qualys), Microsoft ajoute que 94 % des sites prennent déjà en charge TLS 1.2.