Transport Layer Security (TLS) est la dernière version du protocole Secure Socket Layer (SSL). Les deux protocoles garantissent la confidentialité et l'authenticité des données sur Internet. Ces protocoles largement utilisés offrent une sécurité de bout en bout en appliquant un cryptage pour les communications Web. Cependant, malgré les similitudes entre TLS et SSL, ils présentent également des différences significatives.

Cet article explique le fonctionnement des protocoles de cryptage TLS et SSL, leur importance, leurs différences et pourquoi c'est le bon moment pour passer au protocole TLS.

Le contexte historique de TLS et SSL

L'Internet Engineering Task Force (IETF), l'organisation responsable de l'élaboration des normes Internet, a publié Demande de commentaires (RFC-1984), reconnaissant l'importance de la protection des données personnelles dans un Internet en pleine croissance. La Netscape Communication Corporation a introduit SSL pour sécuriser la communication Web qui a subi plusieurs mises à niveau.

instagram viewer

La version SSL 1.0 n'a jamais été publiée en raison de failles de sécurité, et SSL 2.0 a été la première version publique de Netscape en 1995. Cependant, en raison de failles de sécurité et d'inconvénients, il a été remplacé par une autre version SSL 3.0 en novembre 1996. La dernière version SSL n'est pas non plus utilisée en raison de son insécurité contre le Attaque de caniche en octobre 2014 et a été officiellement obsolète en juin 2015.

TLS a été publié en 1999 en tant que protocole indépendant de l'application: une mise à niveau vers SSL version 3.0 réalisée par Internet Engineering Task Force (IETF). L'idée était d'implémenter TLS sur TCP pour chiffrer les applications à l'aide des protocoles FTP, IMAP, SMTP et HTTP. Par exemple, HTTPS est une version sécurisée de HTTP car il implémente TLS pour assurer une livraison sécurisée des données en évitant les altérations de contenu et les écoutes clandestines.

Fonctionnement de base des protocoles TLS/SSL

La communication entre les parties (par exemple, le navigateur de votre ordinateur et un site Web) commence en identifiant s'il intégrera ou non le protocole TLS/SSL, de sorte que le client pourra spécifier l'utilisation du cryptage TLS soit par:

  • Spécification d'un port prenant en charge le cryptage de communication SSL, ou
  • En faisant des requêtes spécifiques au protocole TLS

En attendant, un site Web nécessite un certificat TLS/SSL installé sur son serveur d'hébergement pour utiliser le protocole. Un tiers de confiance délivre le certificat qui lie la clé publique au domaine qui possède la clé privée et lui permet de chiffrer/déchiffrer la communication.

Après avoir accepté d'utiliser TLS/SSL pour la communication client-serveur, il procède à la prise de contact. La poignée de main établit les spécifications requises pour échanger des messages. La section suivante résume la série d'échanges d'informations pour activer la connexion TLS/SSL :

  1. Les parties conviennent de la version du protocole qu'elles utiliseront, puis
  2. Décide des algorithmes cryptographiques ou de la suite de chiffrement à utiliser, puis
  3. Authentifie les parties communicantes avec leur clé publique et les signatures numériques de l'autorité de certification émettrice, puis
  4. Échange les clés de session à utiliser lors de la communication. Les protocoles TLS et SSL utilisent la cryptographie asymétrique pour générer des clés partagées (publiques) et privées.

Si le navigateur ne peut pas valider le certificat TLS/SSL, il renvoie une erreur "La connexion n'est pas privée".

Après avoir établi la méthode de déchiffrement lors de la poignée de main, le protocole d'enregistrement utilise le cryptage symétrique pour la communication pendant toute la session. En outre, le protocole d'enregistrement ajoute également au message le HMAC pour TLS et le MAC pour SSL pour garantir l'intégrité des données.

Par conséquent, les protocoles accomplissent trois objectifs fondamentaux de sécurité :

  • Confidentialité: Crypte les données pour les cacher aux tiers de sorte que seul un destinataire prévu puisse voir le contenu.
  • Intégrité: Applique le code d'authentification du message pour vérifier le contenu du message chiffré.
  • Authentification: Authentifie l'identité du site Web/client/serveur à l'aide d'un certificat pour garantir que les parties qui échangent des informations ne peuvent pas revenir sur leur identité.

Quelle est la différence entre TLS et SSL ?

Comme mentionné précédemment, la principale différence que vous remarquez entre les deux protocoles est la manière dont ils établissent les connexions. La poignée de main TLS utilise un moyen implicite d'établir une connexion via un protocole, tandis que SSL établit des connexions explicites avec un port.

Indépendamment de toutes les autres différences, la caractéristique fondamentale qui différencie les deux connexions TLS/SSL est l'utilisation d'une suite de chiffrement qui décide de la sécurité globale de la connexion.

La partie essentielle d'une connexion TLS/SSL est de se mettre d'accord sur une suite de chiffrement qui définit un ensemble d'algorithmes pour l'échange de clés, l'authentification, le chiffrement en bloc et un code d'authentification de message basé sur le hachage (HMAC) ou des algorithmes de code d'authentification de message, etc. pour une séance particulière. Chaque version TLS/SSL prend en charge un ensemble différent de suites de chiffrement pour la session de communication. Par conséquent, chaque suite de chiffrement prend en charge son propre ensemble d'algorithmes qui améliore la sécurité et les performances globales de la connexion.

SSL TLS
SSL est un protocole complexe à mettre en œuvre. TLS est un protocole plus simple.
SSL a trois versions, dont SSL 3.0 est la dernière. TLS a quatre versions, dont la version TLS 1.3 est la dernière
Toutes les versions du protocole SSL sont vulnérables aux attaques. Le protocole TLS offre une haute sécurité.
SSL utilise un code d'authentification de message (MAC) après le cryptage du message pour l'intégrité des données TLS utilise un code d'authentification de message basé sur le hachage dans son protocole d'enregistrement.
SSL utilise le résumé des messages pour créer un secret principal. TLS utilise une fonction pseudo-aléatoire pour créer un secret principal.

Pourquoi TLS a-t-il remplacé SSL ?

Le chiffrement TLS est désormais une pratique standard pour protéger les applications Web ou les données en transit contre les écoutes clandestines et la falsification. Il est irréaliste de supposer que TLS est le protocole le plus sécurisé car il a été sujet à des violations telles que Crime et Heartbleed en 2012 et 2014, mais il a montré beaucoup d'améliorations en termes de performances et Sécurité.

TLS remplace SSL, et presque toutes les versions SSL sont désormais obsolètes en raison de ses vulnérabilités connues. Google Chrome est un exemple qui a cessé d'utiliser la version SSL 3.0 en 2014, et la plupart des navigateurs Web modernes ne prennent pas du tout en charge SSL.

Utiliser TLS pour une communication chiffrée

TLS aide à sécuriser les informations sensibles en transit telles que les détails de carte de crédit, les e-mails, la voix sur IP (VOIP), le transfert de fichiers et les mots de passe. Même si les deux certificats effectuent la tâche de chiffrement des données en transit, ils diffèrent par leurs fonctionnalités et ne sont pas interopérables.

Il est important de noter que TLS est appelé SSL uniquement parce que SSL est la terminologie la plus couramment utilisée et que la présence d'un certificat ne garantit pas l'utilisation du protocole TLS. En outre, vous n'avez pas à vous soucier de la modification des certificats SSL en TLS car tout ce que vous avez à faire est d'installer le certificat sur le serveur car il prend en charge les deux protocoles et décide lequel utiliser.

7 raisons pour lesquelles votre site a besoin d'un certificat SSL

Peu importe si vous développez un blog modeste ou un site de commerce électronique complet: vous avez besoin d'un certificat SSL. Voici quelques raisons pratiques pourquoi.

Lire la suite

PartagerTweeterE-mail
Rubriques connexes
  • La technologie expliquée
  • Sécurité
  • SSL
  • OpenSSL
  • Sécurité en ligne
  • Sécurité du navigateur
  • Sécurité des données
A propos de l'auteur
Rumaisa Niazi (16 articles publiés)

Rumaisa est rédactrice indépendante au MUO. Elle a porté plusieurs casquettes, de mathématicienne à passionnée de sécurité de l'information, et travaille maintenant en tant qu'analyste SOC. Ses intérêts incluent la lecture et l'écriture sur les nouvelles technologies, les distributions Linux et tout ce qui concerne la sécurité de l'information.

Plus de Rumaisa Niazi

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner