SSL et TLS sont deux des protocoles de sécurité les plus couramment utilisés aujourd'hui. Ils sont conçus pour fournir un canal de communication sécurisé entre deux parties via unClé publique,signatures numériques et cryptage. Dans cet article, nous expliquerons ce que sont SSL et TLS, leurs différences et similitudes, et comment ils affectent HTTP par rapport à HTTPS.
Qu'est-ce que SSL ?
SSL signifie Secure Sockets Layer. Il s'agit d'un protocole que Netscape a développé dans les années 1990 pour sécuriser les communications sur Internet. Aujourd'hui, sa fonction principale est de prévenir les failles de sécurité dans les communications en cryptant les données échangées entre deux parties. SSL est utilisé dans diverses applications, notamment la messagerie électronique, la navigation Web et le transfert de fichiers.
Protocole SSL
Netscape a développé le protocole SSL dans les années 1990. Il s'agit d'un protocole propriétaire qui n'est pas soumis à l'examen du public. TLS a remplacéCertificats SSL, mais SSL est toujours utilisé dans certaines applications.
SSL 1.0 et SSL 2.0
La première version du protocole SSL a été publiée en 1995. Elle n'a jamais été rendue publique en raison de failles de sécurité découvertes. La deuxième version du protocole SSL a été publiée en 1996. Elle n'a également jamais été rendue publique en raison de problèmes similaires.
SSL 3.0
La troisième et dernière version du protocole SSL a été publiée en 1996. Il s'agit de la version la plus largement utilisée du protocole SSL.
Qu'est-ce que TLS ?
Transport Layer Security, ou TLS, offre le mêmefonctions de sécuritécomme SSL mais avec quelques améliorations. L'Internet Engineering Task Force (IETF) a créé TLS pour normaliser les protocoles de sécurité sur Internet.
Groupe de travail sur l'ingénierie Internet (IETF)
L'IETF est le groupe qui développe des normes pour Internet, y compris des protocoles de sécurité tels que SSL et TLS. Ils établissent également des normes pour d'autres aspects d'Internet, tels que le routage, l'adressage et la dénomination. Ils sont également responsables du développement du protocole TCP/IP.
L'IETF comprend de nombreux groupes de travail, chacun responsable d'un domaine différent d'Internet. Le groupe de travail qui a développé TLS s'appelle le groupe de travail Transport Layer Security.
Protocole TLS
Le protocole TLS a été introduit pour remplacer le protocole SSL, et similaire à SSL, a subi plusieurs révisions majeures pour améliorer la sécurité et la fiabilité.
TLS 1.0 et 1.1
La première version du protocole TLS, TLS 1.0, a été introduite en 1999. TLS 1.0 a rapidement été remplacé par TLS 1,1, puis par TLS 1.2.
TLS 1.2
TLS 1.2 a été introduit en 2008 et, à la date de cet article de blog, continue d'être la version la plus utilisée du protocole.
TLS 1.3
TLS 1.3 est la version la plus récente du protocole et devient rapidement le protocole de cryptage standard pour Internet. En fait, le National Institute of Standards in Technology (NIST) exige que tous les serveurs et clients TLS gouvernementaux prennent en charge TLS 1,2 configuré avec des suites de chiffrement basées sur FIPS, et recommande aux agences d'élaborer des plans de migration pour prendre en charge TLS 1.3 d'ici le 1er janvier 2024.
Différences et similitudes entre TLS et SSL
Même s'ils ont été créés pour atteindre le même objectif, il existe des différences essentielles entre SSL et TLS.
Suites de chiffrement
L'une des principales différences réside dans les suites de chiffrement utilisées par chaque protocole. Les suites de chiffrement sont un ensemble d'algorithmes utilisés pour chiffrer les données. SSL utilise un ensemble de suites de chiffrement différent de TLS. TLS, en particulier TLS version 1.3, offre également quelques améliorations aux algorithmes de chiffrement utilisés, comme le secret de transmission parfait (voir ci-dessous).
Messages d'alerte
Une autre différence est la manière dont les messages d'alerte sont traités. Les messages d'alerte sont utilisés pour communiquer les conditions d'erreur et les messages d'avertissem*nt. Dans SSL, les messages d'alerte ne sont pas chiffrés, ce qui signifie qu'ils peuvent être lus par toute personne qui les intercepte. Dans TLS, les messages d'alerte sont cryptés, ils ne peuvent donc être lus que par les parties impliquées dans la communication.
Protocole d'enregistrement
Le protocole d'enregistrement est chargé d'encapsuler les données à échanger. SSL et TLS utilisent des protocoles d'enregistrement différents. SSL utilise le protocole d'enregistrement SSL, qui est un protocole propriétaire développé par Netscape. TLS utilise le protocole d'enregistrement TLS, un protocole standardisé développé par l'IETF.
Processus de poignée de main
Comme des doigts entrelacés, le processus de poignée de main établit un canal de communication sécurisé entre deux parties. Leprocessus de poignée de mainest différent pour SSL et TLS. Dans SSL, le processus de poignée de main se déroule en deux étapes : la « poignée de main complète » et la « poignée de main abrégée ». Dans TLS, le processus de poignée de main se déroule en une seule étape, connue sous le nom de « poignée de main complète ».
Authentification des messages
L'authentification des messages est un processus de vérification que les données reçues sont les mêmes que celles qui ont été envoyées. SSL et TLS utilisent des algorithmes d'authentification de message différents. SSL utilise l'algorithme MD5, tandis que TLS utilise l'algorithme SHA-256. La différence entre les algorithmes est que MD5 est vulnérable aux attaques par collision, contrairement à SHA-256.
Principales différences entre TLS 1.2 et TLS 1.3
Certains des principaux avantages de TLS 1.3 incluent des performances et une efficacité améliorées, une sécurité plus robuste,et des suites de chiffrement plus fortes.
Meilleure performance
TLS 1.2 et TLS 1.3 diffèrent en ce que ce dernier a un processus de prise de contact beaucoup plus rapide. Une poignée de main implique une série d'étapes de vérification et d'authentification qui aident à établir une connexion sécurisée entre un client et un serveur. TLS 1.3 ne nécessite qu'un seul aller-retour entre le client et le serveur, ce qui réduit les connexions HTTPS plus rapides et plus réactives.
Secret de transmission parfait
L'une des principales raisons pour lesquelles TLS 1.3 est plus sécurisé que son prédécesseur est le secret de transmission parfait.Les versions précédentes du protocole TLS incluaient le secret de transmission, mais ce n'était pas obligatoire. Avec la dernière version, le secret de transmission est désormais requis par défaut.
Le secret de transmission parfait utilise l'algorithme Diffie-Hellman Ephemeral pour l'échange de clés, qui génère une clé de session unique pour chaque nouvelle session. En changeant les clés de chiffrement pour chaque session, le secret de transmission parfait limite la surface d'attaque si une clé de session était compromise, offrant une meilleure résistance contre la force brute et les attaques de l'homme du milieu.
Suites de chiffrement plus fortes
Pour sécuriser les communications sur Internet, les protocoles SSL/TLS utilisent une ou plusieurs suites de chiffrement, qui sont une combinaison d'algorithmes d'authentification, de chiffrement et de code d'authentification de message. La version 1.2 de TLS incluait la prise en charge des chiffrements présentant des faiblesses cryptographiques connues. Alternativement, TLS 1.3 utilise une suite de chiffrement simple qui ne prend en charge que les algorithmes et les chiffrements qui ne présentent actuellement aucune vulnérabilité connue.
Alors, qu'est-ce que HTTP et HTTPS ?
HTTP (Hypertext Transfer Protocol) est le protocole utilisé pour transférer des données sur le Web. HTTPS (Hypertext Transfer Protocol Secure) est une version sécurisée de HTTP qui utilise SSL ou TLS pour chiffrer les données. HTTP et HTTPS utilisent les mêmes méthodes pour transférer des données, mais HTTPS est plus sécurisé car il utilise le cryptage.
Étant donné que HTTP n'est pas sécurisé, il est plus vulnérable aux attaques, telles que les attaques de type "man-in-the-middle" et les écoutes clandestines. SSL et TLS peuvent être utilisés avec HTTP pour créer une connexion plus sécurisée. HTTPS est une version sécurisée de HTTP qui utilise SSL ou TLS pour chiffrer les données. Lorsque les données sont cryptées, elles sont protégées contre la lecture par quiconque pourrait les intercepter. Cela rend plus difficile pour les attaquants d'accéder aux informations sensibles.
Pourquoi avez-vous besoin d'un certificat SSL/TLS
Un certificat SSL ou TLS est un moyen de s'assurer que les informations vues par le client et le serveur restent en sécurité. Ceci est important pour les entreprises car les clients et les clients peuvent faire confiance à l'entreprise pour garder leurs informations privées. Cette confiance peut améliorer la satisfaction et la fidélité des clients et garantirles employés restent investis dans l'entreprise.
C'est également crucial pour les propriétaires de sites Web, car cela peut les aider à éviter des frais juridiques et des dommages-intérêts coûteux. Les certificats SSL et TLS créent une connexion sécurisée entre un site Web et le navigateur Web d'un utilisateur. Cette connexion est importante car elle signifie que les données échangées entre les deux sont cryptées et protégées contre toute lecture par quiconque pourrait les intercepter. Sans sécurité, un site Web est vulnérable aux attaques. Ces attaques peuvent entraîner des violations ou des vols de données, entraînant des poursuites judiciaires contre l'entreprise.
C'est également essentiel pour les particuliers, car cela signifie que leurs informations personnelles seront protégées lorsqu'ils iront en ligne. Les personnes qui utilisent Internet partagent souvent des informations sensibles, telles que leur nom, leur adresse et leur numéro de carte de crédit. Si ces informations sont interceptées par quelqu'un qui n'est pas censé les détenir, elles peuvent être utilisées pour le vol d'identité ou la fraude. Les gens peuvent aider à se protéger contre ces types d'attaques en utilisant une connexion sécurisée.
Vous avez d'autres questions ?
Découvrez le facteur cléCentre d'éducationpour en savoir plus sur PKI, les certificats numériques et tout le reste.