Pourquoi Microsoft met-il fin à ces supports de .NET Framework ?
« .NET Framework 4.5.2, 4.6 et 4.6.1 ne seront plus pris en charge à partir du 26 avril 2022 », a déclaré Jamshed Damkewala, directeur principal de l'ingénierie .NET. « Après cette date, nous ne fournirons plus de mises à jour, notamment des correctifs de sécurité ni d'assistance technique pour ces versions ». La seule exception est la version .NET Framework 4.6 livrée avec Windows 10 Enterprise LTSC 2015, dont le support sera prolongé jusqu'en octobre 2025, date à laquelle le système d'exploitation atteindra sa fin de vie.
En guise d'explication, Microsoft a déclaré que .NET Framework était auparavant signé numériquement à l'aide de certificats utilisant le Secure Hash Algorithm 1 (SHA-1). Cependant, SHA-1 est un ancien algorithme de hachage cryptographique qui n'est plus considéré comme sûr, ce qui signifie qu'il faut passer aux nouvelles normes de l'industrie en matière d'algorithme de hachage. « Nous retirons le contenu qui était signé à l'aide de certificats numériques utilisant SHA-1 afin de prendre en charge les normes industrielles en évolution », a déclaré Damkewala.
En effet, des chercheurs en sécurité ont publié en 2015 un rapport sur la vulnérabilité de SHA-1 aux attaques par collision qui pourraient permettre aux acteurs de la menace de falsifier des certificats numériques pour se faire passer pour des entreprises ou des sites Web. Ces faux certificats numériques peuvent être utilisés pour usurper l'identité d'entreprises, ajouter de la légitimité à des messages de phishing ou, dans le cadre d'attaques de type man-in-the-middle (attaque de l'homme du milieu), espionner des sessions réseau chiffrées.
À partir du mois prochain, le 9 mai, tous les principaux services et processus Microsoft (y compris la signature de code, le hachage de fichiers et les certificats TLS) utiliseront exclusivement l'algorithme SHA-2. Microsoft a également retiré tout le contenu SHA-1 signé par Windows du centre de téléchargement Microsoft en août 2020, après avoir modifié la signature des mises à jour Windows pour utiliser l'algorithme SHA-2 un an auparavant.
Il est également important de noter que, bien que Microsoft ne prenne en charge le contenu signé SHA-2 que pour le contenu officiel, les exécutables Windows signés à l'aide de certificats SHA-1 d'entreprise ou autosignés installés manuellement peuvent toujours fonctionner dans le système d'exploitation.
Les applications n'ont pas besoin d'être recompilées
Microsoft estime qu'après avoir examiné les données de téléchargement et d'utilisation des différentes versions de .NET Framework, il a constaté que la mise à jour de .NET Framework 4.6.2 et des versions plus récentes pour prendre en charge les nouveaux certificats numériques (pour les installateurs) satisferait la grande majorité (98 %) des utilisateurs sans qu'ils aient besoin d'effectuer un changement. Le petit groupe d'utilisateurs utilisant .NET Framework 4.5.2, 4.6 ou 4.6.1 devra passer à une version ultérieure de .NET Framework pour continuer à bénéficier de la prise en charge.
Lorsque .NET Framework 4.5.2, 4.6 et 4.6.1 atteindra la fin de la prise en charge, les applications exécutées sur ces versions continueront de fonctionner. À partir de mai 2022, Microsoft ne publiera plus de mises à jour de sécurité pour ces versions lorsqu'il publiera ces mises à jour de sécurité pour .NET Framework 4.6.2 et les versions ultérieures. Cela signifie qu'à partir de mai 2022, si un ordinateur est équipé de .NET Framework 4.5.2, 4.6 ou 4.6.1, il risque de ne pas être sécurisé. En outre, si vous rencontrez un problème et avez besoin d'une assistance technique, Microsoft vous demandera de passer d'abord à une version prise en charge.
L'entreprise rappelle que .NET Framework 4.6.2 a été livré il y a près de 5 ans, et .NET Framework 4.8 il y a 2 ans. Ces deux versions sont donc des moteurs d'exécution solides et stables pour vos applications. Elle ajoute que .NET Framework 4.6.2 et 4.8 sont des mises à jour (remplacements) hautement compatibles avec .NET 4.5.2, 4.6, et 4.6.1 et largement déployées sur des centaines de millions d'ordinateurs via Windows Update (WU). Si votre ordinateur est configuré pour recevoir les dernières mises à jour de WU, il est probable que votre application fonctionne déjà avec .NET Framework 4.8.
Si vous n'avez pas encore déployé .NET Framework 4.6.2 ou une version ultérieure, il vous suffit de mettre à jour le moteur d'exécution sur lequel l'application est exécutée à une version minimale de 4.6.2 pour rester pris en charge. Si votre application a été construite pour cibler .NET Framework 4 – 4.6.1, elle devrait continuer à fonctionner sur .NET Framework 4.6.2 et plus sans aucun changement dans la plupart des cas.
Selon Microsoft, il n'est pas nécessaire de recibler ou de recompiler avec .NET Framework 4.6.2. Cela dit, la société recommande vivement de vérifier que la fonctionnalité de votre application n'est pas affectée par la nouvelle version du runtime avant de déployer le runtime mis à jour dans votre environnement de production.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Microsoft a annoncé la disponibilité générale de .NET 5 qui inclut C# 9, F# 5 et une prise en charge native de Windows Arm64
Depuis qu'il a effectué une migration vers .NET 5.0, le développeur de la bibliothèque .NET Fusion a constaté une nette amélioration des performances
Microsoft annonce qu'il a apporté quelques améliorations importantes à Visual Studio 2019 16.8 afin de faciliter la migration de projets d'envergure de .NET Framework vers .NET 5
La deuxième version admissible de .NET 5.0 est disponible et constitue la dernière RC avant la sortie de la version stable en novembre, Microsoft autorise son utilisation en production
Microsoft annonce la fin de .NET Standard, sa couche de base unique pour toutes les applications .NET, y compris Xamarin, il sera remplacé par .NET 5