Defaults.Exposed › Rapports
TLS faible et obsolète : votre site diffuse-t-il encore un chiffrement dépassé ? (2026)
Publié 2026-07-01
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines notés ; les chiffres relatifs aux versions de TLS correspondent à la part des domaines accessibles en HTTPS. TLS est le protocole derrière le cadenas ; « faible » désigne d’anciennes versions ou d’anciens chiffrements auxquels les navigateurs et les auditeurs ne font plus confiance. Voir comment nous attribuons les notes.
Le web a en grande partie tourné le dos au chiffrement dépassé — mais un cadenas solide n’est pas garanti, et le maillon faible aujourd’hui est plus souvent le certificat que le protocole. Parmi les sites accessibles en HTTPS, 90,51 % négocient désormais le TLS 1.3 moderne, et la grande majorité des autres utilise TLS 1.2. Les versions de protocole faibles sont donc l’exception, et non la règle. Là où le « TLS faible » pose encore problème, c’est de manière plus subtile : des serveurs qui, discrètement, acceptent encore d’anciennes versions, des chiffrements faibles et — le plus souvent — des certificats tout simplement défectueux. Voici comment savoir si vous faites partie des exceptions.
Ce que signifie « TLS faible » en 2026
- Versions de protocole héritées. TLS 1.0 et 1.1 ont été dépréciés en 2021. En tant que version négociée, elles sont désormais rares — mais un serveur peut utiliser TLS 1.3 par défaut tout en acceptant une rétrogradation vers 1.0 si on le lui demande, ce que les audits signalent.
- Suites de chiffrement faibles. Les anciens algorithmes (RC4, 3DES, chiffrements d’exportation) et l’absence de confidentialité persistante affaiblissent une connexion, même sur une version moderne.
- Un certificat défectueux. C’est le cas le plus courant : la robustesse du chiffrement et la validité du certificat sont deux choses distinctes, et une négociation TLS 1.3 valide accompagnée d’un certificat invalide affiche tout de même un avertissement aux visiteurs. 8,21 % des domaines présentant un certificat en diffusent un qui est invalide — voir mon certificat a expiré.
Où en est réellement le web
Meilleure version de TLS négociée, part des domaines accessibles en HTTPS, au 2026-06-29 :
| Meilleure version de TLS | Part |
|---|---|
| TLS 1.3 (actuelle) | 90,51 % |
| TLS 1.2 (seuil acceptable) | 5,38 % |
| TLS 1.1 / 1.0 (dépréciées) | 0,00 % |
Côté protocole, le tableau est sain. L’écart se situe désormais ailleurs : 8,21 % des certificats sont invalides, et seuls 78,02 % de l’ensemble des domaines diffusent du HTTPS — un cinquième du web n’est donc toujours pas chiffré au départ.
Pourquoi cela compte encore, même si la plupart des sites sont en règle
- Points de conformité. PCI-DSS, de nombreux questionnaires de sécurité et les référentiels gouvernementaux exigent TLS 1.2 ou supérieur et que les anciennes versions et les chiffrements faibles soient activement désactivés — pas simplement inutilisés par défaut. Voir ce que vérifient les questionnaires.
- Exposition à la rétrogradation. Si un serveur accepte encore une ancienne version, un attaquant peut tenter de forcer une connexion plus faible que ce que voulaient les deux parties.
- Risque silencieux. Un TLS faible mais présent et un ancien chiffrement encore accepté déclenchent rarement un avertissement du navigateur ; ils survivent donc jusqu’à ce que quelqu’un procède à une vérification active.
Comment garantir la solidité de votre TLS
- Définissez la version minimale sur TLS 1.2 et activez TLS 1.3 au niveau du serveur ou du CDN — puis vérifiez que les anciennes versions sont refusées, et pas seulement inutilisées. Voir corriger le TLS.
- Modernisez les chiffrements — privilégiez les suites offrant la confidentialité persistante ; abandonnez RC4, 3DES et les chiffrements de qualité export.
- Maintenez le certificat valide — la défaillance la plus courante. Voir corriger les erreurs de certificat.
- Forcez le HTTPS et ajoutez HSTS afin que les rétrogradations vers du HTTP en clair soient refusées.
- Retestez depuis l’extérieur — un TLS faible est invisible dans un navigateur ; confirmez donc à l’aide d’une vérification externe.
Foire aux questions
Mon TLS est-il obsolète ? Probablement pas au niveau de la version — 90,51 % des sites HTTPS utilisent TLS 1.3. La faiblesse la plus probable est un problème de certificat (8,21 % des certificats sont invalides) ou un serveur acceptant encore d’anciennes versions derrière un réglage moderne par défaut.
TLS 1.2 est-il encore acceptable ? Oui — TLS 1.2 constitue un seuil acceptable et TLS 1.3 est préférable. Le problème, c’est que tout ce qui est en dessous de 1.2 soit encore accepté.
Désactiver l’ancien TLS va-t-il gêner les visiteurs plus anciens ? Très peu de clients modernes ont besoin de TLS 1.0/1.1 ; le coût en matière de compatibilité est désormais minime face au bénéfice en termes de conformité et de sécurité.
Un TLS faible affiche-t-il un avertissement du navigateur ? Un protocole ou un chiffrement faible n’en affiche généralement pas — cela ressort des audits et des analyses. Un certificat défectueux, en revanche, avertit directement les visiteurs.
La correction est-elle gratuite ? Oui — il s’agit d’une modification de configuration du serveur ou du CDN, pas d’un achat.
Vérifiez gratuitement votre configuration TLS
Consultez vos versions de TLS, la robustesse de vos chiffrements et l’état de votre certificat — en toute confidentialité et réservé au propriétaire.
Vérifier votre domaine → · Corriger le TLS → · Pourquoi mon site affiche-t-il « Non sécurisé » ? → · Comment nous attribuons les notes → · Données agrégées uniquement. Données stockées et traitées dans l’UE.