SSL vs. TLS : la différence entre les protocoles de communication

Kyung Y.
Kyung Y.
SSL vs TLS Thumbnail
Link Icon
arrow up

SSL et TLS sont deux protocoles de communication qui contribuent à protéger nos données. Mais en quoi consistent-ils exactement et qu'est-ce qui les différencie ?

Vous avez déjà vu la mention « HTTPS » dans les URL de sites web. Le « S » supplémentaire signifie « sécurisé » et signifie que la communication entre votre appareil et le site web est cryptée par SSL ou TLS. Cela empêche les pirates de voler des informations lorsqu'elles transitent sur Internet.

Dans ce guide, nous verrons ce que sont les protocoles SSL et TLS, comment ils fonctionnent, quelles sont leurs principales différences et pourquoi le protocole TLS, plus récent, est plus sûr. Nous expliquerons également comment les hébergeurs gèrent ces protocoles.

Table des matières
arrow

Que sont SSL et TLS ?

SSL (Secure Sockets Layer) et TLS (Transport Layer Security) sont des protocoles cryptographiques qui permettent une communication sécurisée sur internet. Ils utilisent des algorithmes de cryptage pour brouiller les données en messages codés que seul le destinataire prévu peut déchiffrer.

Lorsque vous installez un certificat SSL/TLS sur votre serveur web, il crée une clé publique et une clé privée. Ces clés authentifient votre serveur et lui permettent de crypter et de décrypter les données au moyen d'une formule mathématique.

SSL et TLS ont donc le même objectif : créer des connexions internet sécurisées. L'un des deux est simplement plus récent et amélioré (nous y reviendrons). Tout d'abord, revenons sur l'histoire et les versions de chaque protocole.

Protocole SSL

Netscape a développé le protocole SSL au milieu des années 1990 pour sécuriser la transmission des données entre les navigateurs Web et les serveurs. Malheureusement, les deux premières versions du protocole SSL présentaient des failles de sécurité :

  • SSL 1.0 n'a jamais été rendu public en raison de vulnérabilités.
  • SSL 2.0 a connu de nombreux problèmes et a été supprimé.
  • SSL 3.0 est arrivé en 1996 et a corrigé les problèmes trouvés dans SSL 2.0.

Cependant, près de 20 ans plus tard, des chercheurs ont découvert une vulnérabilité majeure appelée POODLE, affectant SSL 3.0. Cette attaque permettait aux pirates informatiques d'utiliser le repli de SSL 3.0 pour décrypter des informations sensibles.

Par conséquent, ce protocole a également été supprimé.

L'Internet Engineering Task Force (IETF) a alors été chargé de trouver une solution. Elle a créé le protocole TLS pour améliorer SSL 3.0.

Protocole TLS

TLS 1.0 a été publié en 1999 comme une mise à jour de SSL qui contenait encore quelques vulnérabilités.

Les versions ultérieures de TLS ont corrigé ces failles :

  • TLS 1.1 (2006) : Ajout d'une protection contre les attaques CBC
  • TLS 1.2 (2008) : Mises à jour majeures de la sécurité et des performances
  • TLS 1.3 (2018) : Plus rapide et plus sûr que les versions précédentes de TLS

En résumé, le protocole TLS a évolué à partir de SSL 3.0 pour offrir un meilleur cryptage des sites web grâce à des connexions plus rapides et plus sûres. Rentrons dans les details et examinons les principales différences entre les deux technologies.

Principales différences entre les protocoles SSL et TLS

SSL et TLS peuvent sembler similaires à première vue puisqu'ils permettent tous deux le transfert de données cryptées. Mais lorsque l'on s'y penche d'un peu plus près, certaines distinctions importantes apparaissent. Le protocole TLS présente d'importants avantages en termes de sécurité, de vitesse et de capacité, ce qui lui a permis de devenir le protocole le plus utilisé.

Voici quelques-unes des principales distinctions.

SSL and TLS Differences Table

Sécurité

Malheureusement, les chercheurs ont découvert plusieurs vulnérabilités dans les anciennes versions de SSL que les attaquants pourraient exploiter pour décrypter des communications sensibles. Nous avons déjà mentionné l'attaque POODLE, qui permet aux pirates de décrypter les connexions SSL 3.0.

Un autre exemple est l'attaque BEAST. Celle-ci décrypte également les données envoyées sur les connexions SSL et TLS. Elle le fait en ciblant les faiblesses de la méthode de cryptage Cipher Block Chaining (CBC) utilisée.

Chaque nouvelle version de TLS ajoute des couches de protection contre les nouvelles menaces. TLS 1.3, la dernière version, améliore considérablement la sécurité grâce à des algorithmes de cryptage mis à jour. Elle supprime également les suites de chiffrement obsolètes comme SHA-1 et RC4. Dans l'ensemble, TLS protège mieux les informations.

Processus de négociation

Le processus de négociation ("handshake process" en anglais) établit une connexion client/serveur sécurisée par le biais d'échanges de clés cryptées. La négociation SSL nécessite plus de communication dans les deux sens, ce qui ralentit les connexions.

La négociation TLS est devenue plus rapide et plus efficace en réduisant le nombre de messages aller-retour. Moins d'allers-retours sur le réseau signifie des connexions plus rapides et moins d'exposition aux pirates informatiques.

À titre de référence, voici une négociation typique de TLS 1.3 :

SSL and TLS Handshake Process
  1. Le serveur écoute les connexions entrantes sur le port 443, qui est le port standard pour HTTPS.
  2. Le client établit une connexion avec le serveur sur le port 443 et envoie un message ClientHello. Dans TLS 1.3, le nombre de suites de chiffrement prises en charge a été réduit de 37 à 5. Le client suppose que le serveur utilisera l'une de ces cinq suites de chiffrement et génère par anticipation une paire de clés pour chacune d'entre elles. Le client envoie ensuite les paires de clés au serveur avec la version de protocole souhaitée.
  3. À la réception du message ClientHello, le serveur sélectionne la suite de chiffrement la plus appropriée et calcule la clé de session à l'aide de la part de clé du client.
  4. Le serveur répond par un message ServerHello, qui comprend sa propre part de clé. Cela permet au client de générer la même clé de session. En outre, le serveur envoie son certificat SSL/TLS crypté en utilisant la clé de session créée à l'étape 3.
  5. Le client reçoit le message ServerHello et utilise la part de clé du serveur pour calculer la clé de session de manière indépendante. Il décrypte ensuite le certificat du serveur et le vérifie. Si tout se passe bien, la négociation est considérée comme terminée et une connexion sécurisée est établie.

Suites de chiffrement

Les suites de chiffrement sont des ensembles d'algorithmes qui effectuent des contrôles d'authentification, de chiffrement et d'intégrité des données pendant les transactions. SSL prend en charge des suites obsolètes comme RC4 et DES. TLS utilise généralement des suites de chiffrement plus modernes et plus sûres comme AES et SHA-2. Chaque version supprime les options vulnérables et en ajoute de meilleures.

Messages d'alerte

Parfois, des erreurs se produisent pendant les sessions sécurisées ; les messages d'alerte communiquent ces problèmes entre le client et le serveur. SSL n'a que deux niveaux - avertissement et fatal. TLS inclut également un message de "fermeture" pour mettre fin aux connexions en toute sécurité.

En outre, SSL envoie des données d'alerte non cryptées, ce qui permet aux pirates d'accéder à des informations sensibles. TLS crypte toutes les alertes pour améliorer la confidentialité.

Authentification des messages

Enfin, l'authentification des messages permet de vérifier l'intégrité des données grâce à des sommes de contrôle cryptographiques appelées MAC (Message Authentication Codes). Le destinataire décrypte le MAC pour confirmer que le message n'a pas été modifié pendant le transport.

SSL :

  • SSL utilise l'algorithme Message Digest 5 (MD5) pour générer des MAC.
  • MD5 est une fonction de hachage qui produit une valeur de hachage de 128 bits.
  • L'algorithme MD5 présente des faiblesses cryptographiques et est désormais considéré comme obsolète/pas suffisament sécurisé.

TLS :

  • TLS utilise le Hash-based Message Authentication Code (HMAC) pour la génération de MAC.
  • HMAC est un algorithme plus sûr qui combine une fonction de hachage cryptographique (telle que SHA-256) avec une clé secrète.
  • Le HMAC offre une meilleure sécurité et une meilleure résistance aux attaques cryptographiques.

Relation entre SSL/TLS et HTTPS

Maintenant que nous avons expliqué le fonctionnement des protocoles SSL/TLS, il est temps de s'intéresser à leur rôle. Ils constituent le « S » de HTTPS. HTTPS est une version sécurisée du protocole de communication HTTP standard. Il protège les sites web grâce à :

  • Le cryptage des protocoles SSL/TLS
  • L'authentification par le biais de certificats SSL/TLS

Lorsqu'un visiteur accède à un site HTTPS, le navigateur vérifie le certificat SSL/TLS pour valider l'identité du serveur. Les certificats valides indiquent que la transmission d'informations est bien sécurisée. Ils fonctionnent comme un sceau d'approbation, indiquant que les pirates n'usurpent pas l'identité de sites légitimes pour voler des données.

Les sites Web obtiennent des certificats SSL/TLS auprès d'autorités de certification de confiance afin de valider leur authenticité.

Les certificats SSL/TLS contiennent des détails d'identification tels que le nom de l'organisation, l'emplacement et la propriété du serveur. Ils comprennent également une date d'expiration et une clé publique pour le cryptage. Les serveurs renouvellent automatiquement les certificats avant leur expiration pour éviter les erreurs. Dans l'ensemble, les certificats SSL/TLS permettent d'échanger des données cryptées en confirmant la validité du site.

Si le certificat n'est pas correctement configuré, le navigateur peut afficher des erreurs de confidentialité qui pourraient faire fuir les visiteurs. Par exemple, Google Chrome affiche "HTTPS Non sécurisé".

Le fait de s'appuyer sur des versions SSL obsolètes affaiblit également la protection contre les stratégies de piratage modernes.

SSL vs TLS : quel protocole utiliser ?

Compte tenu des vulnérabilités du protocole SSL, le protocole TLS est universellement recommandé pour sécuriser les communications en ligne. Tous les navigateurs et serveurs modernes prennent désormais en charge une version ou une autre du protocole TLS. En fait, nombre d'entre eux ont même abandonné le support du protocole SSL en raison de ses faiblesses inhérentes.

Toutefois, les propriétaires de sites web doivent vérifier la compatibilité de leur navigateur pour s'assurer que tous les visiteurs peuvent accéder à leur site sans erreur. Si les navigateurs les plus modernes fonctionnent parfaitement avec les nouvelles versions de TLS, certains navigateurs plus anciens ont du mal à rattraper leur retard.

Par exemple, il a fallu beaucoup de temps avant qu'Opera Mini, les anciens navigateurs Android et Samsung Internet prennent en charge TLS 1.2 et 1.3. Il est choquant de constater que le navigateur Internet Explorer n'est pas bien mieux loti.

Alors comment s'y prendre ? Nous vous recommandons d'adopter TLS 1.2 ou une version plus récente pour la sécurité de votre site web. Ensuite, maintenez la compatibilité ascendante de TLS 1.2 pour garantir l'accessibilité à tous les navigateurs. Au fil du temps, lorsque son utilisation déclinera, vous pourrez supprimer complètement le support.

SSL et l'hébergement Web

Avant de choisir un hébergeur web, assurez-vous que celui-ci permette de bien sécuriser votre site. Les hébergeurs web réputés ont migré du protocole SSL dépassé vers les protocoles TLS modernes. Cependant, la plupart des hébergeurs utilisent encore le terme "SSL" dans leurs offres, même lorsqu'ils font référence à TLS.

Cela est principalement dû à l'omniprésence du terme « SSL ». Il est devenu synonyme de sécurité en ligne. En d'autres termes, SSL est devenu une « marque ». Étant donné que la plupart des clients comprennent ce qu'ils entendent par « SSL », l'ensemble du secteur continue d'utiliser ce terme. Mais ne vous y trompez pas, il s'agit bien de TLS dans la plupart des cas.

Cette confusion est également la raison pour laquelle il est important que vous vérifiez que votre hébergeur offre bien un support TLS, et pas seulement SSL. Vous pouvez facilement le faire en examinant leurs protocoles de sécurité et en vous assurant que TLS est implémenté.

Lorsque vous choisissez un hébergeur, assurez-vous qu'il propose les dernières versions de TLS. Voici quelques éléments clés à prendre en compte :

  • Options de certificat TLS : Les bons hébergeurs fournissent des certificats TLS à validation de domaine, à validation d'organisation et à validation étendue, provenant d'autorités de certification de confiance.
  • Installation/renouvellement automatique des certificats TLS : De nombreux hébergeurs installent et renouvellent automatiquement les certificats TLS pour des raisons de simplicité et de continuité.
  • Prise en charge des versions modernes de TLS : N'utilisez que des hébergeurs prenant en charge TLS 1.2+ pour éviter les vulnérabilités des versions plus anciennes de TLS et SSL.
  • Optimisation des performances pour TLS : Les meilleurs hébergeurs sur le marché mettent en œuvre des accélérateurs de vitesse TLS, comme HTTP/2 et l'accélération SSL/TLS.

Conclusion

Nous espérons que ce guide vous a permis de découvrir et mieux comprendre les différences entre les anciens protocoles SSL et les protocoles TLS modernes. Voici quelques points clés à retenir :

  • Le protocole TLS a évolué à partir du protocole SSL pour offrir un meilleur cryptage des sites web en améliorant la sécurité, la vitesse et les capacités.
  • Le protocole TLS 1.3 constitue actuellement le moyen le plus rapide et le plus sûr de protéger les communications en ligne.
  • Tous les navigateurs et serveurs modernes prennent en charge le protocole TLS, tandis que le protocole SSL est obsolète et doit être évité.
  • Avant de choisir un hébergeur, assurez-vous que celui-ci propose les dernières versions de TLS et des fonctionnalités d'optimisation.

Chez Softailed, nous sélectionnons pour vous les meilleurs services d'hébergement web en fonction de différents facteurs – dont la sécurité. Consultez notre classement des meilleurs hébergeurs en termes de sécurité pour trouver un fournisseur d'hébergement Web aux normes de sécurité élevées.

Link Icon
arrow up

Développeur avec pour seuble faiblesse une tendance à collecter trop de données ! Je suis passionné par l'hébergement Web et le Cloud. Quand je ne suis pas connecté, j'aime aller à la pêche et créer des objets bizarres avec mon imprimante 3D.