Changements majeurs avec IE 7

Modification de la barre d'URL en mode SSL

Le nouveau IE 7 aura un affichage largement amélioré avec SSL. La barre d'url sera obligatoirement affichée et elle sera colorée de 4 façons différentes.

• vert: site sécurisé avec un certificat haute assurance (validation)
• blanc: site sécurisé avec un certificat basse assurance
• jaune: site suspect
• rouge: site identifié comme dangereux (phishing)

Les certificats Haute Assurance ne sont pas encore en vente, mais dès qu'ils le seront, nous communiquerons dessus.

Nous avons bon espoir que tout les certificats que nous commercialisons actuellement seront directement classifiés comme Haute Assurance, étant donné que nous avons sélectionné que les meilleurs produits du marché.

Si vous n'avez pas encore suivi notre conseil ( Pourquoi les certificats domain-validated sont dangereux? ) et remplacé tous vos certificats Domain Validated par des certificats avec authentification compléte, ceci est le signal! IE 7 discriminera ces pseudo certificats, c'est donc un mauvais investissement, en plus d'être une bévue de sécurité.

Alerte en cas d'authentification Basic

IE 7 affichera une alerte à chaque fois qu'une page sera accédée avec une authentification HTTP de type Basic sans SSL. Cette authentification, qui est la plus courament utilisée, fait circuler le mot de passe en clair!

Cela incitera massivement à utiliser SSL pour protéger ce type d'accès et ainsi éviter l'avertissement de sécurité.

Néanmoins cela n'impactera pas les pages de login implémentées avec des POST qui sont de nos jours, les plus courants. Dommage car l'utilisation de POST sans mode SSL est particuliérement dangereux aussi!

Fin de SSLv2

Microsoft a annoncé que IE 7 ne supportera plus SSLv2 par défaut (il sera désactivé). C'est une bonne chose et Mozilla/Firefox a également annoncé la même action.

TBS INTERNET recommande depuis des années la désactivation de SSLv2 au niveau des serveurs afin de garantir la sécurité maximale. Tous les navigateurs qui supportent les certificats que nous délivrons supportent également nativement SSLv3, qui est plus sûr et permet de gêrer les certificats chaînés.

Il n'y a donc pas d'impact à désactiver SSLv2 sur vos serveurs. De même, la désactivation de SSLv2 dans IE 7 ne posera aucun souci à nos certificats qui sont compatibles SSLv3 et TLS depuis (au moins) 2002.

Fin du chiffrement 40-et 56-bit, ajout du 256-bit

IE7 pour Vista n'aura plus le chiffrement 40- et 56-bit d'activé par défaut. Cela signifie que ces versions exigeront un chiffrement supérieur à > 56-bit (64, 112 (3DES) ou 128). Le chiffrement 256-bit sera aussi activé.

Cette modification n'interviendra pas sur les Windows autre que Vista. En clair, Win XP n'aura pas le 256-bit, ni la désactivation du 40- et 56-bit. Ceci parce que la modification est implémenté dans SCHANNEL.DLL qui n'est pas livré avec IE 7.

Voir aussi:

• http://blogs.msdn.com/ie/archive/2005/10/22/483795.aspx
• http://blogs.msdn.com/ie/archive/2006/03/15/552246.aspx
• http://blogs.msdn.com/ie/archive/2005/11/21/495507.aspx