Posté par Typhlos .
En réponse au lien RIP HTTP.
Évalué à 4.
Dernière modification le 04 mai 2023 à 11:02.
Je ne suis pas d'accord dans le sens où https n'est pas le responsable de cette obsolescence. Le responsable est le constructeur qui n'a pas fait les mises à jour pour supporter les nouvelles versions de TLS.
On ne change pas de version de TLS tous les 4 matins et à chaque fois, il y a une période pour faire la bascule qui me semble raisonnable : dans l'exemple de TLS 1.0, il a été publié en 1999 et son support a été abandonné par Firefox en 2020 (Firefox 74). TLS 1.1 a lui été publié en 2006 et abandonné en même temps. Et ça a été annoncé en 2018. TLS 1.2, qui lui est toujours supporté, a été publié en 2008. TLS 1.3 a presque 5 ans puisqu'il a été publié en 2018.
Les constructeurs ont donc largement le temps de supporter les nouvelles versions de TLS avant que les anciennes versions ne soient abandonnées : 14 ans entre la publication de TLS 1.2 et l'abandon de TLS 1.0 et 1.1.
Donc parler de ne pas garder le support de SSLv1 (publié il y a presque 30 ans en 1994 !) comme raison de l'obsolescence ne me paraît pas correct.
[^] # Re: Moué ben perso je pense que http devrait survivre !
Posté par Typhlos . En réponse au lien RIP HTTP. Évalué à 4. Dernière modification le 04 mai 2023 à 11:02.
Je ne suis pas d'accord dans le sens où https n'est pas le responsable de cette obsolescence. Le responsable est le constructeur qui n'a pas fait les mises à jour pour supporter les nouvelles versions de TLS.
On ne change pas de version de TLS tous les 4 matins et à chaque fois, il y a une période pour faire la bascule qui me semble raisonnable : dans l'exemple de TLS 1.0, il a été publié en 1999 et son support a été abandonné par Firefox en 2020 (Firefox 74). TLS 1.1 a lui été publié en 2006 et abandonné en même temps. Et ça a été annoncé en 2018. TLS 1.2, qui lui est toujours supporté, a été publié en 2008. TLS 1.3 a presque 5 ans puisqu'il a été publié en 2018.
Les constructeurs ont donc largement le temps de supporter les nouvelles versions de TLS avant que les anciennes versions ne soient abandonnées : 14 ans entre la publication de TLS 1.2 et l'abandon de TLS 1.0 et 1.1.
Donc parler de ne pas garder le support de SSLv1 (publié il y a presque 30 ans en 1994 !) comme raison de l'obsolescence ne me paraît pas correct.