Le 02 août 2016 à 00:31:00 Schrodingerscat a écrit :
Par contre je ne vois pas du tout ça comme une "faille" et encore mois un problème rédhibitoire pour le protocole... Un serveur Web ça se configure bien, et ça ce n'est pas du ressort de l'utilisateur même s'il voit un joli cadenas vert.

Un échange non sécurisé pour un protocole dit sécurisé ? C'est bien une faille, puisque dans ce cas précis le protocole ne remplit pas sa part du contrat.

Rédhibitoire, je n'ai jamais dit ça : il fonctionne très bien.
Lorsque j'ai dit que le protocole allait être déprécié (ou du moins une des versions du protocole, j'ai exagéré un peu sur ce coup ^^), c'est parce que ce dernier ne remplit pas complètement ses fonctions. Il ne supporte pas le HSTS de manière native et c'est aux serveurs Web de combler la faille. C'est pourquoi il serait préférable de réaliser une montée de version incluant le HSTS (ça ne change rien en pratique, mais sur le papier, le HTTPS n'aura plus ce problème).
Du coup tous les sites devront implémenter HSTS (car pour le moment c'est une recommandation, comme tu l'as dit).