TLS et SSL sont des protocoles qui vous aident à authentifier et à transporter des données sur Internet en toute sécurité. Mais quelle est la différence entre TLS et SSL ? Et est-ce quelque chose dont vous devriez vous inquiéter ?
Dans cet article, vous apprendrez les principales différences entre TLS et SSL, ainsi que la façon dont les deux protocoles se connectent à HTTPS. Vous apprendrez aussi pourquoi, en tant qu’utilisateur final, vous n’avez probablement pas trop à vous soucier de TLS vs SSL ou si vous utilisez un « certificat SSL » ou un « certificat TLS ».
Vous pouvez cliquer ci-dessous pour passer à une section spécifique ou lire l’article en entier :
- Quelle est la différence entre TLS et SSL ?
- Comment TLS et SSL fonctionnent à un niveau basique
- Pourquoi s’agit-il d’un certificat SSL et non d’un certificat TLS ?
- Pourquoi vous devriez utiliser TLS et non SSL (et pourquoi vous le faîtes probablement déjà même si vous ne le savez pas)
Quelle est la Différence Entre TLS et SSL ?
TLS (Transport Layer Security) et SSL (Secure Socket Layers) sont tous deux des protocoles cryptographiques qui cryptent les données et authentifient une connexion lors du transfert de données sur Internet.
Par exemple, si vous traitez des paiements par carte bancaire sur votre site Web, TLS et SSL peuvent vous aider à traiter ces données en toute sécurité afin que les acteurs malveillants ne puissent pas mettre la main dessus.
Quelle est la différence entre TLS et SSL ?
Eh bien, TLS est en fait juste une version plus récente de SSL. Il corrige certaines vulnérabilités de sécurité dans les anciens protocoles SSL.
Avant d’en savoir plus sur les détails, il est important de comprendre l’historique de base de SSL et TLS.
SSL 2.0 a été publié pour la première fois en février 1995 (SSL 1.0 n’a jamais été rendu public en raison de failles de sécurité). Bien que SSL 2.0 ait été rendu public, il contenait également des failles de sécurité et a été rapidement remplacé par SSL 3.0 en 1996.
Puis, en 1999, la première version de TLS (1.0) a été mise à jour vers SSL 3.0. Depuis, il y a eu trois autres versions de TLS, la plus récente étant TLS 1.3 en août 2018.
À ce stade, les deux versions publiques de SSL ont été dépréciées et présentent des vulnérabilités de sécurité connues (nous y reviendrons plus tard).
Voici l’historique complet des versions SSL et TLS :
- SSL 1.0 – jamais publié en raison de problèmes de sécurité.
- SSL 2.0 – réalisé en 1995. Déprécié en 2011. À des problèmes de sécurité connus.
- SSL 3.0 – réalisé en 1996. Déprécié en 2015. À des problèmes de sécurité connus.
- TLS 1.0 – réalisé en 1999 en tant que mise à niveau vers SSL 3.0. Dépréciation prévue en 2020.
- TLS 1.1 – réalisé en 2006. Dépréciation prévue en 2020.
- TLS 1.2 – réalisé en 2008.
- TLS 1.3 – réalisé en 2018.
Comment TLS et SSL Sécurisent-ils les Données ?
Voici le processus de haut niveau pour savoir comment SSL et TLS fonctionnent.
Lorsque vous installez un certificat SSL/TLS sur votre serveur Web (souvent appelé simplement « certificat SSL »), il comprend une clé publique et une clé privée qui authentifient votre serveur et permettent à celui-ci de crypter et de décrypter les données.
Lorsqu’un visiteur se rend sur votre site, son navigateur recherchera le certificat SSL / TLS de votre site. Ensuite, le navigateur effectuera un « handshake » pour vérifier la validité de votre certificat et authentifier votre serveur. Si le certificat SSL n’est pas valide, vos utilisateurs peuvent être confrontés à l’erreur « votre connexion n’est pas privée », ce qui pourrait les inciter à quitter votre site web.
Une fois que le navigateur d’un visiteur détermine que votre certificat est valide et authentifie votre serveur, il crée essentiellement un lien crypté entre lui et votre serveur pour transporter les données en toute sécurité.
C’est également là qu’intervient HTTPS (HTTPS signifie « HTTP over SSL/TLS »).
HTTP, et le plus récent HTTP/2, sont des protocoles d’application qui jouent un rôle essentiel dans le transfert d’informations sur Internet.
Avec le HTTP simple, cette information est vulnérable aux attaques. Mais lorsque vous utilisez HTTP sur SSL ou TLS (HTTPS), vous cryptez et authentifiez ces données pendant le transport, ce qui les rend sécurisées.
C’est pourquoi vous pouvez traiter en toute sécurité les détails de votre carte bancaire via HTTPS, mais pas via HTTP, et c’est aussi pourquoi Google Chrome fait tant d’efforts pour adopter HTTPS.
Pourquoi Appelle-t-on cela un Certificat SSL si SSL est Déprécié ?
Ci-dessus, vous avez appris que TLS est la version la plus récente de SSL et que les deux versions publiques de SSL sont obsolètes depuis plusieurs années et contiennent des vulnérabilités de sécurité connues.
Cela pourrait vous amener à vous demander : pourquoi appelle-t-on cela un certificat SSL et non un certificat TLS ? Après tout, TLS est le protocole de sécurité moderne.
Par exemple, si vous regardez la page des fonctionnalités de Kinsta, vous verrez que Kinsta annonce un certificat SSL gratuit, pas un certificat TLS gratuit.
Ne vous inquiétez pas : Kinsta n’utilise pas une technologie dépassée !
Non, la raison pour laquelle la plupart des gens les appellent encore certificats SSL est essentiellement une question de marque. La plupart des principaux fournisseurs de certificats se réfèrent encore aux certificats comme étant des certificats SSL, c’est pourquoi la convention de nommage persiste.
En réalité, tous les « certificats SSL » que vous voyez annoncés sont en fait des certificats SSL/TLS (ceci comprend les certificats SSL gratuits que nous proposons dans le cadre de notre intégration avec Cloudflare).
Autrement dit, vous pouvez utiliser les protocoles SSL et TLS avec votre certificat.
Il n’existe pas seulement un certificat SSL ou un certificat TLS, et vous n’avez pas à vous soucier de remplacer votre certificat SSL par un certificat TLS.
Devriez-vous Utiliser TLS ou SSL ? Est-ce que TLS Remplace SSL ?
Oui, TLS remplace SSL. Et oui, vous devriez utiliser TLS au lieu de SSL.
Comme vous l’avez appris ci-dessus, les deux versions publiques de SSL sont dépréciées en grande partie à cause des vulnérabilités de sécurité connues qu’elles comportent. En tant que tel, SSL n’est pas un protocole entièrement sécurisé en 2019 et au-delà.
TLS, la version la plus moderne de SSL, est sécurisée. De plus, les versions récentes de TLS offrent également des avantages en termes de performances et d’autres améliorations.
Non seulement TLS est plus sûr et plus performant, mais la plupart des navigateurs Web modernes ne supportent plus SSL 2.0 et SSL 3.0. Par exemple, Google Chrome a cessé de prendre en charge SSL 3.0 depuis 2014, et la plupart des principaux navigateurs prévoient de cesser de prendre en charge TLS 1.0 et TLS 1.1 en 2020.
Alors comment vous assurer que vous utilisez les versions les plus récentes de TLS et non des protocoles SSL plus anciens et non sécurisés ?
Tout d’abord, rappelez-vous que votre certificat n’est pas le même que le protocole qu’utilise votre serveur. Vous n’avez pas besoin de modifier votre certificat pour utiliser TLS. Même s’il s’agit d’un « certificat SSL », votre certificat supporte déjà les protocoles SSL et TLS.
Au lieu de cela, vous contrôlez quel protocole votre site Web utilise au niveau du serveur.
Si vous êtes hébergé chez Kinsta, Kinsta vous permet déjà d’utiliser TLS 1.3, qui est la version la plus moderne, la plus sûre et la plus performante, ainsi que TLS 1.2.
Si vous êtes hébergé ailleurs, vous pouvez utiliser l’outil SSL Labs pour vérifier quels protocoles sont activés pour votre site.
Par exemple, si vous testez un site Web hébergé chez Kinsta, vous pouvez voir comment Kinsta active TLS 1.2 et TLS 1.3 mais désactive les anciennes versions non sécurisées de SSL :
Si vous constatez que votre serveur prend toujours en charge les protocoles SSL obsolètes, vous pouvez demander de l’aide à votre hébergeur ou suivre ces instructions pour désactiver SSL sur les deux serveurs Web les plus populaires (Apache et Nginx) :
- Désactiver les versions SSL obsolètes sur les serveurs web Apache
- Désactiver les versions SSL obsolètes sur les serveurs web Nginx
Pourquoi Kinsta Permet-il des Protocoles TLS Multiples ?
Si TLS 1.3 est le protocole le plus moderne et le plus performant, pourquoi Kinsta se donne-t-il la peine d’activer également les protocoles TLS 1.2 légèrement plus anciens ?
En d’autres termes : quel est l’avantage d’avoir plusieurs protocoles activés ?
Comme vous l’avez appris ci-dessus, la poignée de main (handshake) SSL / TLS comporte deux parties :
- Votre serveur web
- Le client (généralement le navigateur Web d’un visiteur)
Pour que la poignée de main fonctionne, les deux doivent prendre en charge le même protocole.
Le principal avantage d’avoir plusieurs protocoles est donc la compatibilité.
Par exemple, alors que Chrome et Firefox ont ajouté le support de TLS 1.3 presque immédiatement après sa sortie en 2018, Apple et Microsoft ont pris un peu plus de temps pour ajouter le support de TLS 1.3.
Même en 2019, les navigateurs suivants ne sont toujours pas compatibles TLS 1.3 :
- Internet Explorer
- Opera Mini
- Android Browser
- Opera Mobile
- UC Browser for Android
- Samsung Internet
- Baidu Browser
Mais si TLS 1.3 n’est pas encore totalement adopté, tous les principaux navigateurs supportent TLS 1.2 en 2019 :
En activant TLS 1.3 et TLS 1.2 sur votre serveur, vous pouvez assurer la compatibilité quoi qu’il arrive, tout en bénéficiant des avantages de TLS 1.3 pour les navigateurs qui le supportent, comme Chrome et Firefox.
Si vous voulez vérifier quelle version de SSL/TLS votre navigateur Web utilise, vous pouvez utiliser l’outil : How’s My SSL :
Résumé
En résumé, TLS et SSL sont tous deux des protocoles d’authentification et de cryptage du transfert de données sur Internet.
Les deux sont étroitement liés et TLS n’est en fait que la version la plus moderne et sécurisée de SSL.
Bien que SSL soit toujours le terme dominant sur Internet, la plupart des gens veulent vraiment dire TLS lorsqu’ils parlent de SSL, parce que les deux versions publiques de SSL ne sont pas sécurisées et ont depuis longtemps été dépréciées.
Pour utiliser les protocoles SSL et TLS, vous devez installer un certificat sur votre serveur (voici comment installer un certificat SSL sur WooCommerce). Encore une fois, alors que la plupart des gens les appellent « certificats SSL », ces certificats supportent à la fois les protocoles SSL et TLS.
Vous n’avez pas à vous soucier de « changer » votre certificat SSL en certificat TLS. Si vous avez déjà installé un « certificat SSL », vous pouvez être sûr qu’il supporte également TLS.
Il est important d’utiliser les dernières versions de TLS car SSL n’est plus sécurisé, mais votre certificat ne détermine pas le protocole que votre serveur utilise. Au lieu de cela, une fois que vous avez un certificat, vous pouvez choisir les protocoles à utiliser au niveau du serveur.
Si vous êtes hébergés chez Kinsta, Kinsta active actuellement TLS 1.2 et TLS 1.3, qui sont tous sécurisés et pris en charge par tous les principaux navigateurs.
En fait, Google a commencé à afficher les notifications d’avertissement ERR_SSL_OBSOLETE_VERSION dans Chrome.