SSL, TLS, ECC, SHA... La cybersécurité ressemble un peu à un potage rempli de petites pâtes alphabet. Cette soupe d’acronymes peut cependant vite devenir indigeste et vous faire perdre de vue vos véritables besoins. Je crois que la question que l’on nous pose le plus souvent porte sur les différences entre le SSL (Secure Socket Layer) et le TLS (Transport Layer Security). Vous souhaitez sécuriser votre site Web (ou un autre support de communication), mais avez-vous besoin du SSL ? Du TLS ? Des deux ? Voyons cela en détail.
SSL et TLS : rappel historique
SSL et TLS sont deux protocoles cryptographiques qui permettent l’authentification, et le chiffrement des données qui transitent entre des serveurs, des machines et des applications en réseau (notamment lorsqu’un client se connecte à un serveur Web). Le SSL est le prédécesseur du TLS. Au fil du temps, de nouvelles versions de ces protocoles ont vu le jour pour faire face aux vulnérabilités et prendre en charge des suites et des algorithmes de chiffrement toujours plus forts, toujours plus sécurisés.
Initialement développé par Netscape, le SSL sort en 1995 dans sa version SSL 2.0 (le SSL 1.0 n’étant jamais sorti). Mais après la découverte de plusieurs vulnérabilités en 1996, la version 2.0 est vite remplacée par le SSL 3.0. Remarque : les versions 2.0 et 3.0 sont parfois libellées ainsi : SSLv2 et SSLv3.
Basé sur le SSL 3.0, le TLS est introduit en 1999 comme la nouvelle version du SSL :
Les différences entre ce protocole et le SSL 3.0 ne sont pas énormes, mais suffisamment importantes pour empêcher l'interopérabilité entre le TLS 1.0 et le SSL 3.0.”
(source)
Actuellement, la version du TLS utilisée est la v.1.2 – Le TLS v.1.3 n’étant pas finalisé.
Quel protocole utiliser : SSL ou TLS ?
Les versions SSL 2.0 et 3.0 ont toutes deux été désapprouvées par l’IETF (en 2011 et 2015, respectivement). Des vulnérabilités (comme POODLE, et DROWN) ont été et continuent d’être découvertes dans les protocoles SSL désapprouvés. La plupart des navigateurs récents dégradent l’expérience utilisateur (cadenas ou préfixe HTTPS barré dans la barre d’URL, affichage d’avertissements de sécurité) lorsqu’ils rencontrent un serveur Web qui utilise d’anciens protocoles. Nous vous recommandons donc de désactiver les versions SSL 2.0 et 3.0 dans votre configuration serveur pour ne conserver que les protocoles TLS.
Les certificats sont différents des protocoles.
Avant de songer à remplacer vos certificats SSL existants par des certificats TLS, rappelons que les certificats ne sont pas dépendants des protocoles. En clair, vous n’avez pas à utiliser un certificat TLS plutôt qu’un certificat SSL. Si de nombreux fournisseurs ont tendance à parler de « Certificat SSL/TLS », il serait sans doute plus exact de parler de « certificats à utiliser avec SSL et TLS », puisque les protocoles sont déterminés par votre configuration serveur, pas par les certificats en tant que tels.
L’expression « Certificats SSL », à ce jour la plus répandue, devrait cependant perdurer, même si le terme TLS commence à percer. L’expression « SSL/TLS » est un compromis fréquent, jusqu’à ce que l’emploi de TLS se soit généralisé.
Désactivation du SSL 2.0 et 3.0
Vous n’êtes pas sûr que les protocoles SSL soient toujours pris en charge par vos serveurs ? Notre outil de test de serveur SSL vous aide à le savoir rapidement.
Les résultats du test serveur de GlobalSign indiquent les protocoles qui sont activés, alors qu’ils ne devraient plus l’être.
Pour savoir comment désactiver SSL 2.0 et 3.0 sur les principaux types de serveurs, y compris Apache, NGINX et Tomcat, lisez l’article sur le sujet sur notre site Support.
Alors quelle différence entre les protocoles SSL et TLS ? Dans le langage courant, les différences sont minimes, et le terme SSL reste largement utilisé. Mais dans votre configuration serveur, les différences se traduisent au niveau des vulnérabilités, des suites de chiffrement obsolètes et des avertissements de sécurité du navigateur. Sur vos serveurs, seuls les protocoles TLS doivent être activés.
D’autres questions sur la configuration SSL/TLS et les bonnes pratiques ? Faites-nous part de vos commentaires ; nous serons ravis de vous aider !