Posts

Vous entendez peut-être de plus en plus parler de SSL et de TLS dans l'actualité ces derniers temps. Ces termes sont utilisés par des entreprises telles que Google pour sensibiliser davantage de personnes à leur importance lors de la navigation (je parle de toi, Chrome).

Il existe une distinction marquée entre SSL et TLS. Ces deux protocoles chiffrent les données envoyées sur Internet. Ces protocoles sont des objectifs pour les cryptographes, les experts en sécurité des réseaux et les développeurs qui veulent établir des liens cryptés entre un serveur web et les navigateurs.

Que sont SSL et TLS ?

Une connexion sécurisée est cryptée. Le cryptage protège les données que vous envoyez et recevez, de sorte que personne d'autre ne peut les lire.

Il existe deux types de cryptage : SSL et TLS. Chacun a ses avantages et ses inconvénients, mais les deux assurent une connexion sécurisée.

SSL, ou Transport Layer Security, est un protocole cryptographique qui assure la sécurité des communications sur un réseau informatique. Il protège l'intégrité et la confidentialité des données en utilisant le cryptage.

TLS, ou Transport Layer Security, est une norme de communication sécurisée sur l'internet. Elle permet aux applications client/serveur de communiquer sur un réseau d'une manière conçue pour empêcher l'écoute clandestine et la falsification des informations.

Pourquoi avez-vous besoin d'un certificat SSL/TLS ?

Les certificats SSL/TLS cryptent les données envoyées entre votre site web et vos utilisateurs. Toutes les informations que vous envoyez sont sécurisées et ne sont pas visibles pour les autres. C'est essentiel pour protéger les informations sensibles telles que les numéros de carte de crédit, les mots de passe et d'autres données.

Sans certificat SSL/TLS, toute personne se trouvant sur le même réseau que votre site web peut intercepter le trafic entre votre serveur et les navigateurs web de vos utilisateurs. Cela pourrait lui permettre de voir toutes les informations échangées et même de les modifier avant de les envoyer.

Différence entre SSL et TLS

TLS et SSL permettent une authentification et une transmission de données sûres sur Internet. Mais en quoi TLS et SSL diffèrent-ils l'un de l'autre ? Devez-vous vous en préoccuper ?

SSL

TLS

SSL est l'abréviation de Secure Sockets Layer,  TLS est l'abréviation de Transport Layer Security.
Netscape a créé SSL en 1995. L'Internet Engineering Taskforce (IETF) a développé TLS pour la première fois en 1999.
Existe en trois versions :

  • SSL 1.0
  • SSL 2.0,
  • SSL 3.0.
Existe en quatre versions :

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
  • TLS 1.3
Dans toutes les versions de SSL, des vulnérabilités ont été découvertes, et toutes ont été dépréciées.  À partir de mars 2020, les protocoles TLS 1.0 et 1.1 ne seront plus pris en charge.

Dans la plupart des cas, le protocole TLS 1.2 est utilisé.

Un serveur web et un client communiquent en toute sécurité grâce au protocole SSL, un protocole cryptographique qui utilise des connexions explicites. Grâce à TLS, le serveur web et le client peuvent communiquer en toute sécurité via des connexions implicites. TLS a remplacé SSL.

Voici quelques autres différences majeures dans le fonctionnement de SL et TLS :

Authentification des messages

L'une des principales différences entre SSL et TLS est l'authentification des messages. SSL utilise des codes d'authentification des messages (MAC) pour garantir que les messages ne sont pas altérés pendant la transmission. TLS n'utilise pas les MAC pour la protection, mais s'appuie sur d'autres moyens, tels que le cryptage, pour empêcher la falsification.

Protocole d'enregistrement

Le protocole d'enregistrement est la façon dont les données sont transportées sur un canal de communication sécurisé dans TLS et SSL, mais il présente quelques différences mineures. Dans TLS, un seul enregistrement peut être effectué par paquet, tandis que dans SSL, plusieurs enregistrements peuvent être transportés par paquet (bien que cela soit rarement mis en œuvre).

En outre, certaines fonctionnalités du protocole d'enregistrement de TLS ne sont pas incluses dans SSL, comme les options de compression et de remplissage.

Suites de chiffrement

TLS prend en charge plusieurs suites de chiffrement, qui sont des algorithmes utilisés pour le cryptage et le décryptage. La suite de chiffrement la plus connue est l'échange de clés Diffie-Hellman (DHE) éphémère basé sur des courbes elliptiques, qui fournit un secret avant parfait (PFS) et peut être utilisé avec n'importe quelle longueur de clé. Quelques autres suites de chiffrement prennent en charge le PFS mais sont moins largement utilisées. SSL ne prend en charge qu'une seule suite de chiffrement avec PFS, qui utilise une clé RSA de 1024 bits.

Messages d'alerte

Le protocole SSL utilise des messages d'alerte pour informer le client ou le serveur d'une erreur spécifique pendant la communication. Le protocole TLS ne dispose pas de mécanisme équivalent.

En bref, SSL n'est plus utilisé, et TLS est le nouveau terme pour désigner le protocole SSL désuet en tant que norme de cryptage actuelle utilisée par tous. Bien que TLS soit techniquement plus précis, SSL est largement utilisé.

Pourquoi TLS a-t-il remplacé SSL ?

Pour protéger les applications en ligne ou les données en transit contre les écoutes et les altérations, le chiffrement TLS est désormais une procédure de routine. TLS a été vulnérable à des failles comme Crime et Heartbleed en 2012 et 2014. Bien qu'il ait fait preuve d'avancées significatives en matière d'efficacité et de sécurité, il est irréaliste de croire qu'il s'agit du protocole le plus sûr.

Christopher Allen et Tim Dierks, de Consensus Development, ont créé le protocole TLS 1.0, une amélioration de SSL 3.0.

Même si le changement de nom implique une différence substantielle entre les deux, il n'y en a pas eu beaucoup.

Selon DierksMicrosoft a changé son nom pour sauver la face. Il a déclaré :

Pour éviter de donner l'impression que l'IETF approuvait le protocole de Netscape, nous avons dû changer le nom de SSL 3.0 dans le cadre de ce marchandage (pour la même raison). C'est ainsi que TLS 1.0 a été créé (qui était SSL 3.1). Bien sûr, avec le recul, toute cette situation semble ridicule.

SSL est remplacé par TLS, et pratiquement toutes les versions de SSL ont été jugées obsolètes en raison de failles de sécurité documentées. Un exemple est Google Chrome, qui a cessé d'utiliser SSL 3.0 en 2014. La majorité des navigateurs en ligne contemporains ne prennent pas du tout en charge SSL.

Pourquoi remplacer vos certificats SSL par des certificats TLS ?

La principale raison de remplacer vos certificats SSL par de nouveaux certificats TLS est qu'ils sont incompatibles entre eux - ils utilisent des protocoles et des algorithmes différents. Cela signifie que tout navigateur ou application client qui utilise un protocole ne pourra pas se connecter de manière sécurisée à un serveur utilisant l'autre protocole sans que des changements de configuration explicites soient effectués des deux côtés de la connexion.

Le mot de la fin

Les certificats SSL et TLS remplissent tous deux la même fonction de cryptage du flux de données si vous les comparez. TLS est une version améliorée et plus sûre de SSL. Cependant, les certificats SSL, qui sont largement disponibles en ligne, ont la même fonction de protection de votre site web. En réalité, ils fournissent tous deux la barre d'adresse HTTPS, qui est désormais reconnue comme le signe distinctif de la sécurité en ligne.

Alors que SSL et TLS protègent votre site web contre toute utilisation non autorisée, DMARC protège votre domaine de messagerie contre l'usurpation d'identité. DMARC est une norme d'authentification des e-mails qui vous permet de prendre des mesures contre les e-mails envoyés par des sources non autorisées qui usurpent votre nom de domaine.

Commencez votre chemin vers l'application de la norme DMARC avec PowerDMARC vous permettra de gouverner pleinement votre domaine, d'acquérir une visibilité sur vos canaux de messagerie au taux le plus rapide du marché, et de passer en toute sécurité à des politiques plus strictes !