Stats relevées auprès de différents partenaires : - côté transitaires de paiements internet, <1% des transactions en SSLv3 - côté téléservices administration, en gros 3%.
La masse des connexions en SSLv3 vient d’IE6 sous XP et de clients en Oracle Java 6. A partir de XP SP3 on peut faire du TLS 1.0 (IE8). On trouve parfois aussi des clients de Web Services codés avec de vieilles technos (Delphi 2010 par exemple).
Bref avant de désactiver, vérifier avec ses clients.
Stéphane
Le 19 oct. 2014 à 12:18, Xavier Beaudouin kiwi@oav.net a écrit :
Hello,
La situation sur ce front n'est pas simple : couper SSLv3 c'est fermer la porte à des clients (les décideurs vont pas aimer), et le laisser en vie c'est compromettre la sécurité de tous les autres clients... Les équipes techniques ont-elles le pouvoir de pousser une telle décision ? :-)
Ca fait plus de 6 mois que j'ai coupé SSLv3 de pas mal de services dont certains pour des clients type bancaires.
Je n'ai jamais eu de retours négatifs, donc on peux penser que de fait, en interne chez ce type de clients on a déjà fait de sorte que SSLv3 soit bannis.
D'un autre coté ça me rassure.
A noter que je bosse pour une boite de logiciels et ne travaille pas avec du e-commerce.
Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/