Hello,
La situation sur ce front n'est pas simple : couper SSLv3 c'est fermer la
porte
à des clients (les décideurs vont pas aimer), et le laisser en vie c'est
compromettre la sécurité de tous les autres clients... Les équipes techniques
ont-elles le pouvoir de pousser une telle décision ?
Stats relevées auprès de différents partenaires :
- côté transitaires de paiements internet, 1% des transactions en SSLv3
- côté téléservices administration, en gros 3%.
La masse des connexions en SSLv3 vient d’IE6 sous XP et de clients en Oracle
Java 6. A partir de XP SP3 on peut faire du TLS