Le SSL et le TLS sont tous deux des protocoles qui authentifient et transportent vos données sur Internet de manière sécurisée. Dans le langage courant, TLS est encore appelé SSL de nos jours, bien que ce dernier soit devenu obsolète.
- SSL et TLS : une brève introduction
- La différence entre SSL et TLS
SSL et TLS : une brève introduction
SL (Secure Socket Layer) et TLS (Transport Layer Security) sont tous deux des protocoles cryptographiques qui cryptent vos données afin qu'elles soient transmises en toute sécurité sur Internet. Par exemple, si vous traitez des paiements par carte de crédit sur votre site web, les données peuvent être traitées en toute sécurité à l'aide des protocoles de cryptage, de sorte que des tiers ne puissent pas influencer le processus. SSL est le prédécesseur de TLS et ne correspond plus à l'état actuel de la technique. Avant de vous expliquer les principales différences entre les protocoles, nous vous donnons un bref aperçu historique.
- SSL 1.0 : jamais publié publiquement en raison de problèmes de sécurité.
- SSL 2.0 : publié en 1995. obsolète depuis 2011.
- SSL 3.0 : publié en 1996. obsolète depuis 2015.
- TLS 1.0 : publié en 1999 comme mise à niveau vers SSL 3.0. Obsolète depuis 2020.
- TLS 1.1 : publié en 2006. Obsolète depuis 2020.
- TLS 1.2 : publié en 2008.
- TLS 1.3 : Publié en 2018.
Cette classification montre clairement que SSL est désormais obsolète et que Transport Layer Security est le protocole actuellement utilisé. Le protocole TLS vise principalement à garantir la protection des données et l'intégrité des données entre deux ou plusieurs applications informatiques qui communiquent. SSL est cependant toujours le terme le plus courant de nos jours, bien qu'il désigne souvent TLS.
La différence entre SSL et TLS
Lorsque vous établissez une connexion entre un client (par exemple un navigateur comme Google Chrome) et un serveur (par exemple heise.de) via TLS ou SSL, vous reconnaissez à un petit symbole de cadenas que vous avez établi une connexion cryptée avec le site web. Ce processus est également appelé "handshake". Il convient de noter que SSL et TLS ne sont que des protocoles. Les autres informations d'authentification (comme l'empreinte digitale unique ou l'identité de l'exploitant du site web) se trouvent dans le certificat.
Si SSL et TLS sont donc la même chose ? Non, pas tout à fait. Les termes sont certes utilisés comme synonymes dans le langage courant, mais TLS est le protocole le plus sûr et une évolution de SSL. Au fil des années, des failles ont été découvertes dans les protocoles SSL obsolètes et continuent de l'être. Chaque nouvelle version du protocole publiée apporte ses propres améliorations et nouvelles fonctionnalités. La version 1.0 de SSL n'a jamais été publiée. La version 2.0 l'était en revanche, mais présentait quelques défauts majeurs. La version 3.0 de SSL était une nouvelle version de la version 2.0 (afin de corriger ces défauts - avec un succès limité). En face, on trouve la version 1.0 du TLS, qui est une amélioration de la version 3.0 du SSL. Entre TLS 1.0 et 1.1, les changements étaient mineurs. TLS 1.2 a apporté quelques changements significatifs et TLS 1.3 a optimisé l'ensemble du processus de cryptage.
L'une des différences entre les protocoles est notamment le type d'échange de clés. TLS utilise le Digital Signature Standard et l'algorithme Ephemeral Diffie-Hellmann combiné à RSA, ce qui offre une meilleure protection contre un décryptage ultérieur. SSL utilise un algorithme de cryptage plus ancien qui a déjà pu être décrypté par des attaques.
En outre, SSL et TLS se distinguent par le type d'enregistrement du protocole. SSL utilise le code d'authentification des messages (MAC) après le cryptage, tandis que TLS utilise HMAC - un code d'authentification des messages basé sur le hachage. En bref, TLS crypte vos messages de manière pseudo-aléatoire, ce qui les rend plus sûrs contre les attaques.
La simple raison pour laquelle de nombreux sites web parlent encore de certificats SSL n'est donc en fait qu'un problème de branding. La plupart des grands fournisseurs de certificats continuent d'appeler les certificats SSL, ce qui explique la persistance de la convention de dénomination. En conclusion, SSL et TLS sont apparentés, mais ne sont pas synonymes.
Conseil : si vous souhaitez en savoir plus sur SSL et les certificats émis, lisez l'article correspondant.