Defaults.Exposed

Defaults.Exposed › Rapports

TLS faible et obsolète : votre site diffuse-t-il encore un chiffrement dépassé ? (2026)

Publié 2026-07-01

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines notés ; les chiffres relatifs aux versions de TLS correspondent à la part des domaines accessibles en HTTPS. TLS est le protocole derrière le cadenas ; « faible » désigne d’anciennes versions ou d’anciens chiffrements auxquels les navigateurs et les auditeurs ne font plus confiance. Voir comment nous attribuons les notes.

Le web a en grande partie tourné le dos au chiffrement dépassé — mais un cadenas solide n’est pas garanti, et le maillon faible aujourd’hui est plus souvent le certificat que le protocole. Parmi les sites accessibles en HTTPS, 90,51 % négocient désormais le TLS 1.3 moderne, et la grande majorité des autres utilise TLS 1.2. Les versions de protocole faibles sont donc l’exception, et non la règle. Là où le « TLS faible » pose encore problème, c’est de manière plus subtile : des serveurs qui, discrètement, acceptent encore d’anciennes versions, des chiffrements faibles et — le plus souvent — des certificats tout simplement défectueux. Voici comment savoir si vous faites partie des exceptions.

Ce que signifie « TLS faible » en 2026

Où en est réellement le web

Meilleure version de TLS négociée, part des domaines accessibles en HTTPS, au 2026-06-29 :

Meilleure version de TLSPart
TLS 1.3 (actuelle)90,51 %
TLS 1.2 (seuil acceptable)5,38 %
TLS 1.1 / 1.0 (dépréciées)0,00 %

Côté protocole, le tableau est sain. L’écart se situe désormais ailleurs : 8,21 % des certificats sont invalides, et seuls 78,02 % de l’ensemble des domaines diffusent du HTTPS — un cinquième du web n’est donc toujours pas chiffré au départ.

Pourquoi cela compte encore, même si la plupart des sites sont en règle

Comment garantir la solidité de votre TLS

  1. Définissez la version minimale sur TLS 1.2 et activez TLS 1.3 au niveau du serveur ou du CDN — puis vérifiez que les anciennes versions sont refusées, et pas seulement inutilisées. Voir corriger le TLS.
  2. Modernisez les chiffrements — privilégiez les suites offrant la confidentialité persistante ; abandonnez RC4, 3DES et les chiffrements de qualité export.
  3. Maintenez le certificat valide — la défaillance la plus courante. Voir corriger les erreurs de certificat.
  4. Forcez le HTTPS et ajoutez HSTS afin que les rétrogradations vers du HTTP en clair soient refusées.
  5. Retestez depuis l’extérieur — un TLS faible est invisible dans un navigateur ; confirmez donc à l’aide d’une vérification externe.

Foire aux questions

Mon TLS est-il obsolète ? Probablement pas au niveau de la version — 90,51 % des sites HTTPS utilisent TLS 1.3. La faiblesse la plus probable est un problème de certificat (8,21 % des certificats sont invalides) ou un serveur acceptant encore d’anciennes versions derrière un réglage moderne par défaut.

TLS 1.2 est-il encore acceptable ? Oui — TLS 1.2 constitue un seuil acceptable et TLS 1.3 est préférable. Le problème, c’est que tout ce qui est en dessous de 1.2 soit encore accepté.

Désactiver l’ancien TLS va-t-il gêner les visiteurs plus anciens ? Très peu de clients modernes ont besoin de TLS 1.0/1.1 ; le coût en matière de compatibilité est désormais minime face au bénéfice en termes de conformité et de sécurité.

Un TLS faible affiche-t-il un avertissement du navigateur ? Un protocole ou un chiffrement faible n’en affiche généralement pas — cela ressort des audits et des analyses. Un certificat défectueux, en revanche, avertit directement les visiteurs.

La correction est-elle gratuite ? Oui — il s’agit d’une modification de configuration du serveur ou du CDN, pas d’un achat.

Vérifiez gratuitement votre configuration TLS

Consultez vos versions de TLS, la robustesse de vos chiffrements et l’état de votre certificat — en toute confidentialité et réservé au propriétaire.

Vérifier votre domaine → · Corriger le TLS → · Pourquoi mon site affiche-t-il « Non sécurisé » ? → · Comment nous attribuons les notes → · Données agrégées uniquement. Données stockées et traitées dans l’UE.