El soporte para XP fue eliminado por MS el 8 de abril de 2014, hace casi dos años, pero todavía hay muchas personas que utilizan XP para navegar por Internet.
Además, todavía hay muchos sitios como Google o Facebook que ofrecen SSLv3 y cosas similares para soportar XP. Sin embargo, si elimináramos XP tendríamos una seguridad mucho mejor. Podríamos utilizar:
- ECC
- Certificados SHA2 (bueno, sí, XPSP3 solucionó el problema, pero muchos usuarios de XP aún tienen SP2)
- TLSv1.2
- AES
- HSTS
- HPKP
- SNI, probablemente uno de los aspectos más importantes del alojamiento HTTPS compartido.
Tenemos una situación bastante similar con Android más antiguo (< 4.0), pero a diferencia de XP, tenemos números reales de androides activos en Internet de Google y su número es solo del 3.2%, donde casi podemos ignorarlos.
Y el punto más importante es que todos los que realmente quieran estar en este sistema antiguo pueden usar Firefox, que ofrece todas las funciones de seguridad agradables, y aún tiene XP y la mayoría de las versiones antiguas de Android (Froyo es una excepción).
Entonces vamos al punto:
A la luz de todo eso, ¿ya es "seguro" abandonar el soporte de XP (y el antiguo Android junto con él) de los sitios HTTPS para brindar mayor seguridad? Especialmente viendo que los proveedores de navegadores marcarán aún más vulnerabilidades día tras día. ¿Debemos esperar, y si es así, hasta cuándo?