SSL et TLS sont des acronymes interchangeables lorsqu’ils sont associés au terme “certificat”, mais il s’agit fondamentalement de protocoles cryptographiques différents conçus pour accomplir la même tâche. Dans ce guide ultime SSL vs TLS, nous allons examiner de plus près chaque protocole et ses caractéristiques distinctes afin que vous sachiez quelle est la différence entre SSL et TLS.
Avant de nous plonger dans les aspects techniques de SSL et de TLS, nous allons jeter un coup d’œil sur l’ensemble du secteur SSL et voir pourquoi il joue un rôle crucial dans la sécurité des sites web d’aujourd’hui.
Table des matières
- Qu’est-ce qu’un certificat SSL/TLS ?
- Petite histoire des certificats SSL/TLS
- Quelle est la différence entre les certificats SSL et TLS ?
- Quelle est la différence entre le cryptage SSL et TLS ?
- Qu’est-ce qui est le plus sûr, SSL ou TLS ?
- Si SSL est désormais TLS, pourquoi ne pas les appeler certificats TLS ?
Qu’est-ce qu’un certificat SSL/TLS ?
Un certificat SSL/TLS est un petit fichier numérique qui sécurise les données sensibles en transit entre deux applications informatiques sur un réseau. L’internet étant le plus grand réseau informatique, les certificats SSL sont un élément essentiel de tout site web.
Par défaut, toutes les informations que les utilisateurs partagent avec un site web transitent en texte clair du navigateur au serveur web via le protocole HTTP (Hypertext Transfer Protocol). Ce protocole client-serveur est vulnérable aux cybermenaces, en particulier aux attaques de type “man-in-the-middle” qui peuvent intercepter et voler des données sensibles telles que les numéros de cartes de crédit. Pour éviter cela, les informaticiens ont inventé les protocoles SSL et TLS, que les certificats numériques suivent. Voici comment cela fonctionne en pratique :
Supposons que vous ayez une boutique en ligne qui vend des cristaux. Lorsque les clients arrivent sur votre page de paiement, ils remplissent les détails de paiement et cliquent sur le bouton d’achat. Désormais, toutes les informations les concernant passent directement de leur navigateur à votre serveur. Si le protocole HTTPS est activé, pour un pirate potentiel, les données ressembleront à une chaîne de caractères aléatoires au lieu des noms, adresses et numéros de carte de crédit réels.
Casser le cryptage SSL/TLS est au-delà des capacités humaines. C’est pourquoi les certificats SSL sont désormais obligatoires pour tous les sites. Sans cela, les navigateurs signaleront les connexions comme non sécurisées. Pire encore, le site n’apparaîtra pas dans les pages de résultats des moteurs de recherche.
Comment obtenir un certificat SSL ? Vous l’obtenez auprès d’une autorité de certification, une entité tierce qui valide la propriété du domaine et, le cas échéant, le statut juridique de l’entreprise. Ensuite, vous installez/téléchargez les fichiers du certificat sur le serveur de votre site web et activez le protocole HTTPS sécurisé. C’est tout ! Votre site web est sécurisé et les données des utilisateurs sont en sécurité.
Brève histoire des certificats SSL/TLS
Les années 90 ont vu naître les premiers sites web et navigateurs, ainsi que la première transaction de détail sécurisée sur le web. Mais, comme c’est souvent le cas pour les premières versions, la version initiale de SSL (Secure Sockets Layer) était truffée de vulnérabilités. Il était si faible qu’il n’a jamais été mis en ligne.
En 1995, Netscape a publié SSL 2.0 pour un usage général et, un an plus tard, le protocole SSL 3.0 amélioré. N’étant toujours pas satisfait des performances en matière de sécurité, Netscape s’est associé à son concurrent Microsoft en 1999 et a développé un tout nouveau protocole cryptographique appelé TLS (Transport Layer Security).
TLS 1.0 était presque identique à SSL 3.0, mais chaque nouvelle version le rendait plus sûr. TLS 1.2 a bientôt 15 ans, mais il est encore largement utilisé aujourd’hui. La dernière version de TLS 1.3 offre le plus d’améliorations et est maintenant régulièrement mise en œuvre sur le web.
Maintenant que nous avons brièvement couvert l’histoire de SSL et de TLS, voyons quelles sont leurs similitudes et leurs différences.
Quelle est la différence entre les certificats SSL et TLS ?
Pour l’utilisateur moyen, SSL ou TLS ne signifie pas grand-chose. Tant que l’icône du cadenas se trouve à côté de l’URL d’un site web, son utilisation est sûre. Vous ne devez pas non plus vous préoccuper des certificats SSL ou TLS lorsque vous en achetez un. Il est important de faire la distinction entre les certificats et les protocoles.
Les certificats sont des fichiers numériques qui authentifient l’identité de votre serveur afin que les navigateurs puissent établir une connexion sécurisée par le biais de protocoles cryptographiques. Ces protocoles de communication permettent à deux parties d’échanger des données en toute confidentialité et intégrité.
Aujourd’hui, la plupart des sites supportent les protocoles TLS 1.2 et TLS 1.3, tandis que les versions SSL ne sont plus utilisées. Techniquement, tout le monde utilise des certificats TLS, quel que soit le nom qu’on leur donne. Si l’on se réfère strictement aux certificats, il n’y aura donc pas de différence entre SSL et TLS en 2023. En ce qui concerne les protocoles, à chaque nouvelle version de TLS, le prédécesseur de SSL est devenu obsolète.
Quelle est la différence entre le cryptage SSL et TLS ?
Lorsque l’on compare SSL et TLS, le cryptage n’est qu’une partie de l’échange entre un client et un serveur. SSL 2.0 utilise uniquement l’échange de clés RSA (Rivest Shamir Adleman), tandis que SSL 3.0 et les versions TLS prennent également en charge l’échange de clés Diffie-Hellman (DH). TLS 1.2 a introduit la prise en charge de la cryptographie à courbe elliptique, tandis que TLS 1.3 a supprimé la cryptographie RSA.
Toutes ces techniques de chiffrement utilisent des algorithmes complexes appelés suites de chiffrement pour convertir le message en clair original en un texte chiffré codé, mais elles ont un point commun : la cryptographie à clé publique.
La cryptographie à clé publique ou cryptographie asymétrique utilise des clés différentes pour crypter et décrypter les données. Voici comment cela fonctionne :
Supposons que Jean veuille envoyer un message secret à Jeanne. Jane dispose d’une clé publique et d’une clé privée. Elle conserve donc sa clé privée en lieu sûr et envoie sa clé publique à John. Jean chiffre le message secret à l’aide de la clé publique de Jeanne. Jane peut ensuite le décrypter à l’aide de sa clé privée. Mais que se passe-t-il si Tom se fait passer pour Jane ? Comment John fera-t-il confiance à Jane ? Saisir les signatures numériques et les autorités de certification (AC).
Les certificats SSL/TLS sont signés numériquement par une autorité de certification qui crée la signature à l’aide de sa clé privée et fournit une identification au porteur, dans notre cas, Jane.
Comme vous pouvez le constater, les protocoles SSL et TLS tentent d’accomplir la même chose, mais à chaque nouvelle version de TLS, l’approche et les avancées en matière de sécurité diffèrent considérablement des premières versions de SSL.
Le protocole TLS, par exemple, utilise moins de suites de chiffrement, mais des suites plus efficaces qui ne laissent aucune place au piratage. Les suites de chiffrement offrent une parfaite sécurité de transmission (PFS) et acceptent n’importe quelle longueur de clé. En revanche, SSL ne prend en charge qu’une seule suite de chiffrement avec PFS, qui utilise une clé RSA de 1024 bits.
La plus grande différence entre SSL et TLS est sans doute l’authentification des messages. SSL utilise des codes d’authentification des messages (MAC) pour garantir l’intégrité des messages pendant la transmission. Le protocole TLS n’utilise pas de MAC, mais s’appuie sur le chiffrement pour empêcher les manipulations.
Qu’est-ce qui est le plus sûr, SSL ou TLS ?
Avec l’évolution de l’internet et la montée en puissance des cybermenaces, les anciens protocoles SSL étaient trop faibles pour faire face à l’assaut des attaques. La première version de SSL n’a même pas été mise en ligne, et la version suivante n’était pas non plus un produit fini. SSL 3.0 est venu corriger les défauts de son prédécesseur, tandis que les deux premières versions de TLS n’ont apporté que des changements mineurs.
Des améliorations significatives ont été apportées avec l’arrivée de TLS 1.2, tandis que TLS 1.3 les a portées à un niveau supérieur, redéfinissant certains des concepts de base. Aujourd’hui, les protocoles SSL sont obsolètes et ne sont plus pris en charge par la plupart des serveurs et des clients. Il est possible que le protocole SSL soit encore activé sur certaines plates-formes anciennes, mais l’internet est passé à TLS 1.2 et 1.3.
Vulnérabilités SSL et POODLE
En 2014, une équipe de spécialistes de la sécurité employés par Google a détecté un problème critique dans le protocole SSL et l’a appelé POODLE (Padding Oracle On Downgraded Legacy Encryption). Cette découverte a déclenché une transition massive de SSL à TLS.
En un mot, POODLE tire parti des fallbacks de SSL 3.0. Les attaquants abusent du protocole SSL et l’utilisent pour décrypter des parties du contenu. En effectuant un nombre important d’attaques, les pirates ont pu révéler certains éléments de la connexion entre le client et le serveur et accéder à l’information. Tout système prenant en charge SSL 3.0 peut être violé à l’aide de la méthode POODLE.
En 2002, bien avant la vulnérabilité POODLE, d’autres failles SSL telles que BREAST ou BREACH ont été révélées. Ce n’est qu’en 2011 qu’il a été prouvé que ces attaques constituaient un véritable problème. Microsoft, Apple et d’autres sociétés de navigateurs ont travaillé ensemble pour les éradiquer. Finalement, toutes ces failles de sécurité ont été à l’origine du remplacement de SSL par TLS.
À l’époque, la solution la plus rapide pour remédier aux vulnérabilités du protocole SSL consistait à le désactiver du côté du serveur et à n’utiliser que la version sécurisée TLS 1.2. Aujourd’hui, de nombreux utilisateurs se demandent encore ce qui est le mieux : SSL ou TLS ? La réponse est évidente, et c’est la même depuis plus d’une décennie. TLS est le protocole le plus stable, avec des fonctions de sécurité avancées capables de faire face aux cybermenaces modernes. SSL est le passé, tandis que TLS est le présent et l’avenir.
Si SSL est désormais TLS, pourquoi ne pas appeler les certificats TLS ?
La différence entre SSL et TLS devient de plus en plus significative au fil des années et des nouvelles versions de TLS qui adoptent des technologies de cryptage haut de gamme. Lorsque TLS est apparu pour la première fois comme une alternative à SSL, il a apporté des changements mineurs et certains serveurs ne le prenaient pas en charge. Pour éviter toute confusion technique, tout le monde a continué à utiliser l’ancien acronyme SSL pour les connexions utilisant le protocole SSL 3.0.
Au plus fort des vulnérabilités SSL, les pirates se sont amusés à déclasser le protocole TLS en SSL 3.0 par le biais de l’attaque POODLE mentionnée précédemment. Lassés de ses constantes imperfections, les régulateurs du secteur ont déprécié le protocole SSL, tout en conservant son nom à des fins de marketing.
Comme le grand public connaît le terme SSL, les principales autorités de certification, telles que DigiCert, GeoTrust, RapidSSL, Thawte et Sectigo, l’utilisent pour tous leurs produits.
Se débarrassera-t-on un jour de l’acronyme SSL pour utiliser exclusivement TLS ? Étant donné que cela fait maintenant huit ans que SSL 3.0 appartient à l’histoire, et qu’il n’y a aucun signe de suppression du nom SSL par les autorités de certification, l’ancienne abréviation de trois lettres restera en place dans un avenir prévisible.
Réflexions finales
La question SSL vs TLS se pose à tous les utilisateurs lorsqu’ils découvrent les certificats SSL et le cryptage des données sensibles. Les deux protocoles cryptographiques résolvent le même problème, mais comme c’est souvent le cas en matière de technologie, les versions initiales présentent des lacunes que seules les alternatives futures pourront combler.
Le protocole SSL a ouvert la voie à une option TLS meilleure, plus rapide et plus fiable. C’est la principale différence entre SSL et TLS. À chaque nouvelle version de TLS, les similitudes s’estompent et divergent. Pour résumer l’ensemble de l’article en une phrase : Tous les certificats SSL sont désormais des certificats TLS, avec l’ancien acronyme pour plus de clarté et de convivialité.
Questions fréquemment posées
Oui, TLS est meilleur que SSL à tous points de vue, qu’il s’agisse de la sécurité, de la puissance de chiffrement ou de la vitesse de la poignée de main, TLS l’emporte nettement. La dernière version de TLS 1.3 renforce encore la sécurité en supprimant les algorithmes de chiffrement et les algorithmes obsolètes.
Normalement, la poignée de main nécessitait plusieurs allers-retours pour échanger les clés et authentifier le serveur, ce qui augmentait le temps de latence des connexions. TLS 1.2 l’a ralentie, tandis que TLS 1.3 l’a ramenée à un seul aller-retour. La nouvelle fonction Zero Round Trip Time Resumption (0-RTT) rend la connexion presque instantanée lorsqu’un utilisateur visite à nouveau votre site dans un court laps de temps.
Copier le lien
La plupart des serveurs et des clients de messagerie modernes prennent en charge TLS 1.2 ou TLS 1.3. Seuls les anciens serveurs et systèmes peuvent permettre l’exécution de protocoles SSL obsolètes. Voici comment identifier le protocole activé sur les systèmes Windows et Linux.
Fenêtres
WindowsMicrosoft a activé TLS 1.3 dans les dernières versions de Windows 10 à partir de la version 20170.
Suivez les étapes ci-dessous :
- Appuyez sur la touche Windows + R pour lancer Exécuter, tapez regedit et appuyez sur Entrée.
- Allez à la clé suivante et vérifiez-la. S’il est présent, la valeur doit être 0 :
HKEY_LOCAL_MACHINESTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientDisabledByDefault - Ensuite, vérifiez la clé suivante. Si vous le trouvez, sa valeur devrait être de 1 :
HKEY_LOCAL_MACHINESTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientEnabled - Si aucune des clés n’est présente ou si leurs valeurs sont incorrectes, alors TLS 1.2 n’est pas activéLinuxLe moyen le plus simple et le plus rapide de vérifier la version TLS sur différents serveurs Linux est d’utiliser la commande Open SSL : $ openssl s_client -connect {domain}:443 -servername {domain} -tls{version}
Linux
La façon la plus simple et la plus rapide de vérifier la version TLS sur différents serveurs Linux est d’utiliser la commande Open SSL :
$ openssl s_client -connect {domain}:443 -servername {domain} -tls{version}
Copier le lien
Vous pouvez vérifier le statut TLS de n’importe quel site web à l’aide d’un outil externe tel que SSL Labs. Il vous fournira également des informations détaillées sur le certificat SSL.
Copier le lien
HTTPS utilise TLS 1.2 et TLS 1.3. Il s’agit des protocoles les plus sûrs et les plus fiables qui répondent aux besoins actuels en matière de sécurité en ligne. Les protocoles SSL sont désormais obsolètes et ne sont plus utilisés.
Copier le lien
Vous avez besoin d’un certificat SSL/TLS pour crypter les données sensibles et suivre les dernières directives en matière de sécurité. Sans certificat SSL/TLS, votre site web ne sera pas accessible aux visiteurs. Au lieu de cela, ils recevront un avertissement de sécurité. Tous les certificats SSL utilisent le protocole TLS, alors que SSL est désormais obsolète. TLS est le moyen standard d’effectuer le cryptage.
Copier le lien
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
