La pandémie de Covid-19 a poussé les trois éditeurs de navigateurs Google, Microsoft et Mozilla à reporter la suppression du support par leurs navigateurs des protocoles de chiffement TLS 1.0 et 1.1, prévue en mars. D'un commun accord, Chrome de Google, Internet Explorer (IE) et Edge de Microsoft, et Firefox de Mozilla devaient désactiver le support de TLS 1.0 et 1.1 début 2020. La décision avait été annoncée il y a un an et demi avec Apple - éditeur du navigateur Safari - au motif que depuis la disponibilité des protocoles TLS 1.2 et 1.3, les versions TLS 1.0 et 1.1étaient désormais obsolètes.
Microsoft repousse la fin du support
Apple, Google et Mozilla s'étaient engagés à abandonner le support en mars 2020, alors que Microsoft avait seulement promis de purger le TLS 1.0 et 1.1 au cours du premier semestre de cette année. Mais c'est Microsoft qui a fourni le plus de détails sur leur maintien. « Compte tenu des circonstances mondiales actuelles, nous allons reporter ce changement initialement prévu pour le premier semestre 2020 », a écrit Karl Pflug, un membre de l'équipe de développement de Edge, dans un article publié sur le blog de l’entreprise. (Microsoft a déjà utilisé la formulation « circonstances mondiales actuelles » ou quelque chose de similaire, pour désigner la pandémie, au lieu de dire « Covid-19 » ou « coronavirus »).
« La fin du support des protocoles TLS 1.0 et 1.1 est simplement repoussée », a poursuivi Karl Pflug. Edge basé sur Chrome, ne mettra pas fin à ce support « avant » la sortie de Edge 84, prévue actuellement autour du 14 juillet. Les anciens navigateurs de Microsoft, IE11 et l'ancien Edge, désactiveront les protocoles par défaut à partir du 8 septembre.
Google décale le support à Chrome 83, Firefox le réintègre
Google prévoit d’autres modalités, même si, à l’instar de Edge, son navigateur est basé sur Chromium. À l'origine, Chrome 81 devait avertir les utilisateurs quand ils tentaient d’accéder à un site crypté avec les protocoles TLS 1.0 et 1.1. Cette version devait sortir le 17 mars, mais elle a été reportée il y a trois semaines. « La suppression de TLS 1.0 et TLS 1.1 a été reportée à Chrome 83, qui devrait être livré fin mai 2020 », a déclaré Google dans un document concernant les dépréciations des fonctionnalités et des API de Chrome. La navigateur Chrome 83 - Google a déjà dit qu'il n’y aurait pas de version 82 - devrait être lancé le 19 mai.
De son côté, Mozilla s'est aussi montré plus explicite que ses deux concurrents. Le navigateur Firefox 74, sorti le 10 mars, ne supporte déjà plus les protocoles TLS 1.0 et TLS 1.1. Les sites qui ne prenaient pas en charge les versions 1.2 ou supérieure du TLS affichaient une page d'erreur quand les utilisateurs du navigateur de Mozilla essayaient d’y accéder. Mais Mozilla a fait marche arrière. « Nous avons annulé le changement pour une durée indéterminée afin de permettre un meilleur accès aux sites gouvernementaux critiques partageant des informations sur le Covid-19 », a déclaré Mozilla dans de nouvelles notes de mise à jour de Firefox 74. Mozilla n'a pas dit quels sites continuaient à utiliser les anciens protocoles, et n'a pas non plus établi de calendrier pour indiquer à quel moment l’éditeur comptait rétablir la suppression du support des anciens protocoles. Quant à Apple, l’entreprise n'a fourni aucune information sur la gestion des protocoles TLS 1.0 et 1.1 par Safari pendant la crise du coronavirus.