TLS vs SSL – 5 choses à savoir (différences, protocoles et poignées de main)

La sécurité en ligne est primordiale pour le succès d’un site Web, et comprendre la différence entre TLS et SSL est une autre étape dans la protection de vos données sensibles.


Vous avez entendu les mots à la mode: confidentialité en ligne, cybercriminalité, logiciels malveillants, phishing, attaques DDoS, etc. Un élément essentiel pour vous protéger, vous et votre site, contre ces vulnérabilités de sécurité est le chiffrement de bout en bout des données de communication entre les ordinateurs (PC, téléphone, etc.) et les serveurs Web.

Nous vivons dans un monde de plus en plus connecté numériquement, où le protocole réseau TLS (Transport Layer Security) est de la plus haute importance pour protéger les gens contre les dommages numériques. Le protocole TLS est utilisé par le protocole HTTPS (entre autres) pour crypter et authentifier les ordinateurs impliqués dans toute communication sur le Web. Où commençons-nous? Découvrez le monde des certificats TLS, SSL et HTTPS.

1. Hôtes avec certificats SSL / TLS GRATUITS

Dans le passé, l’obtention d’un certificat était souvent compliquée pour les propriétaires de sites Web. Les hébergeurs ont passé énormément de temps à intégrer différents outils et à administrer des processus manuels dans leur entreprise. Et le coût d’un certificat était parfois un facteur prohibitif pour les propriétaires de sites Web plus petits et / ou non commerciaux.

En 2014, un groupe de sociétés et d’organisations à but non lucratif, dont l’Electronic Frontier Foundation, Mozilla, Cisco et Akamai, a annoncé Let’s Encrypt – une autorité de certification ouverte, automatisée et gratuite. Ce projet s’est révélé révolutionnaire en termes de nombre de certificats validés par domaine actuellement utilisés. En savoir plus sur leurs outils ACME (Automatic Certificate Management Environment) et comment commencer ici.

En 2016, Symantec a lancé son initiative Encryption Everywhere visant à garantir que chaque site Web légitime est sécurisé d’ici 2018 en utilisant un processus de certificat sans tracas.

Le programme de Symantec aide les partenaires d’hébergement Web à proposer un chiffrement de base sans frais supplémentaires pour le client hébergeur. Symantec fournit des certificats de base aux hôtes, qui peuvent à leur tour fournir un cryptage SSL entièrement intégré à tout client nouveau ou renouvelant (via leur interface cPanel).

Ainsi, en ces jours de certificats gratuits, de certificats de qualité industrielle à moindre coût et de bien meilleurs outils de gestion des certificats, il y a moins d’arguments contre l’utilisation de HTTPS en tant que propriétaire de site. Voici les meilleurs hébergeurs recommandés avec des certificats SSL gratuits:

2. TLS est la norme de cryptage moderne (SSL est plus ancien)

En un mot: TLS est le cryptage que tout le monde utilise de nos jours. SSL est désuet. Quand les gens disent SSL, ils veulent dire TLS!

SSL / TLS signifie «Secure Sockets Layer» et «Transport Layer Security»

Transport Layer Security et Secure Sockets Layer (SSL) sont tous deux des protocoles réseau qui permettent de transférer des données de manière privée et sécurisée entre un serveur Web et un navigateur Web..

Techniquement, TLS se compose de deux parties:

  1. le Couche de négociation TLS gère le chiffrement (le type d’algorithme de chiffrement) qui sera utilisé, l’authentification (à l’aide d’un certificat spécifique à votre nom de domaine et à votre organisation) et l’échange de clés (basé sur la paire de clés publique-privée du certificat). Le processus de prise de contact n’est effectué qu’une seule fois pour établir une connexion réseau sécurisée pour les deux parties.
  2. le Couche d’enregistrement TLS obtient les données des applications utilisateur, les chiffre, les fragmente à une taille appropriée (déterminée par le chiffrement) et les envoie à la couche de transport réseau.

TLS établit un tunnel réseau bidirectionnel chiffré pour que les données arbitraires voyagent entre deux hôtes. TLS est le plus souvent utilisé en conjonction avec d’autres protocoles Internet tels que HTTPS, SSH, FTPS et e-mail sécurisé.

Graphique de prise de contact et de couches SSL

TLS / SSL se compose de deux couches au sein de la couche d’application d’Internet Protocol Suite (TCP / IP).

En 1999, TLS a remplacé l’ancien protocole SSL comme cryptage le plus utilisé par tout le monde. Cette modification a été apportée principalement pour éviter les problèmes juridiques avec la société Netscape, qui a créé SSL, afin que le protocole puisse être développé en tant que standard ouvert, gratuit pour tous..

HTTP contre HTTPS

HTTPS est le protocole HTTP intégré au protocole TLS. HTTP prend en charge toutes les mécaniques de navigation sur le Web, et TLS se charge de crypter les données envoyées sur le réseau et de vérifier l’identité de l’hôte du serveur à l’aide d’un certificat.

De plus en plus de serveurs Web utilisent également HTTPS uniquement, non seulement pour des raisons de sécurité, mais pour d’autres arguments pratiques:

  • Certains fournisseurs de navigateurs nécessitent désormais HTTPS pour certaines fonctionnalités du navigateur (par exemple, géolocalisation). Et Google et Firefox ont l’intention d’éliminer progressivement le HTTP non chiffré dans leurs navigateurs. Ainsi, la communauté des navigateurs fait de HTTPS la norme.
  • Les utilisateurs attendent une barre d’URL indiquant la confiance et la sécurité (par exemple, l’icône de cadenas) sans aucun avertissement de sécurité, en particulier sur les sites de commerce électronique et d’autres sites avec des données sensibles à la confidentialité.

Cela peut également augmenter le classement de votre moteur de recherche, bien que cela n’ait pas encore été confirmé par Google..

3. Différences entre les protocoles SSL, SSL v3 et TLS

Plusieurs versions de SSL et TLS ont été publiées au fil des ans:

  • 1995: SSL v2 a été la première version publique de SSL par Netscape.
  • 1996: SSL v3 était une nouvelle version qui corrigeait plusieurs failles de conception de sécurité de SSL v2. En 2004, la v3 était considérée comme non sécurisée en raison de l’attaque POODLE.
  • 1999: TLS v1.0 a été publié avec un mécanisme de secours SSL pour une compatibilité descendante.
  • 2006: TLS v1.1
  • 2008: TLS v1.2 est la norme TLS actuelle et est utilisée dans la plupart des cas.
  • TLS v1.3 n’est actuellement qu’un projet de spécification.

La plupart des applications, telles que les navigateurs, sont également compatibles avec certaines des anciennes versions du protocole SSL, bien que SSL soit progressivement éliminé au profit d’une meilleure sécurité TLS.

4. Avantages et inconvénients

Les avantages abondent pour ceux qui utilisent le chiffrement pour protéger les données sensibles de leur site (et de leurs clients). Cela est particulièrement vrai pour le commerce électronique et les sites liés aux soins de santé.

Avantages: sécurité SSL / TLS

Le trafic de votre site bénéficie de la sécurité TLS de deux manières:

  1. Empêcher les intrus de falsifier avec la communication entre votre site Web et les navigateurs Web. Les intrus peuvent être des attaquants malveillants ou des envahisseurs bénins comme les FAI ou les hôtels qui injectent des publicités dans les pages. Les données sensibles, telles que les informations de connexion de l’utilisateur, les détails de la carte de crédit et les informations de messagerie, ne doivent jamais être révélées sur le réseau.
  2. Empêchez les intrus d’écouter passivement aux communications avec votre serveur. Il s’agit d’une menace pour la sécurité quelque peu insaisissable, mais croissante (également confirmée par les fuites de Snowden).

L’importance de ces professionnels ne peut pas être surestimée – en particulier pour les sites de commerce électronique qui dépendent de l’obtention et du maintien de la confiance des utilisateurs pour les ventes.

Inconvénients: «Handshake» SSL / TLS

Aussi génial que cela puisse paraître, TLS présente quelques inconvénients:

  1. TLS ajoutera de la latence au trafic de votre site.
  2. La poignée de main est gourmande en ressources. Il utilise un cryptage asymétrique pour établir une clé de session, ce qui permet ensuite au client et au serveur de basculer vers un cryptage symétrique plus rapide.
  3. TLS ajoutera de la complexité à la gestion de votre serveur. Vous devrez obtenir un certificat installé sur votre serveur Web et maintenir la validité de ce certificat. De nos jours, il existe des outils automatisés pour la gestion des certificats (validés par domaine).
  4. MaxCDN a trouvé une latence de 5 ms lors du test de connexions chiffrées par rapport aux connexions non chiffrées. Les tests ont également montré une augmentation maximale de l’utilisation du processeur d’environ 2%. Cependant, “même avec des dizaines de demandes parallèles et des centaines de demandes séquentielles, l’utilisation du processeur n’a jamais dépassé 5%.”

Quant aux performances de l’ensemble de la connexion, MaxCDN a conclu: «Le chiffrement ajoute une étape dans le processus de connexion initial. La surcharge pour les connexions en cours est négligeable par rapport aux connexions non cryptées. »

Avec la prochaine norme HTTP / 2, la configuration d’une connexion TLS sera beaucoup plus rapide, en raison de sa conception parallèle (moins d’allers-retours réseau requis pour les échanges de données).

De plus, bien que la norme HTTP / 2 elle-même ne nécessite pas de chiffrement, la plupart des implémentations client (Firefox, Chrome, Safari, Opera, IE, Edge) ont déclaré qu’elles ne prendraient en charge que HTTP / 2 sur TLS, ce qui rend le chiffrement de facto obligatoire.

5. Types de certificats TLS / SSL

Dernièrement, l’ensemble du Web semble s’orienter vers HTTPS. Les certificats peuvent être demandés auprès des autorités de certification, parmi lesquelles il existe de nombreux fournisseurs. Lisez les différentes options de certificat disponibles dans notre article sur le choix d’un certificat SSL, ou lisez la suite car nous couvrons brièvement les trois principaux types ci-dessous.

Validation étendue (EV)

Les certificats EV sont accompagnés de la barre d’adresse verte – un symbole de confiance reconnu sur Internet. Les certificats EV sont les premiers certificats TLS. Les sites pour lesquels la sécurité et la confiance des consommateurs sont essentielles, tels que les grands sites de commerce électronique, devraient sérieusement envisager un cert EV.

Capture d'écran des barres d'adresse avec certificats EV en place

Les sites Web avec des certificats EV vantent la barre de confiance verte dans la barre d’adresse du navigateur.

Ces certificats sont cependant les plus chers car un processus de vérification organisationnelle étendu est effectué sur la base de ces critères d’émission.

Validation de l’organisation (OV)

Les certificats OV ne viennent pas avec la barre d’adresse verte mais activez un certain nombre d’indicateurs de confiance du navigateur. Un certificat OV nécessite qu’une entreprise soit vérifiée par l’autorité de certification. Le nom de l’organisation figurera sur le certificat, ce qui renforce la confiance.

Les OV sont utilisés par les entreprises, les gouvernements et d’autres entités qui souhaitent fournir une couche de confiance supplémentaire à leurs visiteurs. Les certificats OV sont particulièrement importants pour les sites Web de commerce électronique si un certificat EV est inaccessible pour une raison quelconque.

Validation de domaine (DV)

Les certificats DV offrent un chiffrement standard de l’industrie (au même niveau que les autres types de certificats), mais pas grand-chose d’autre. Mis à part son faible coût (ou même gratuit), un autre avantage d’un certificat de domaine validé (DV) est qu’il peut être émis en quelques minutes car l’autorité de certification n’a qu’à valider que vous possédez le domaine que vous souhaitez sécuriser – ce qui est souvent un processus automatisé.

Commencez à créer votre site sécurisé SSL en quelques minutes

Maintenant que vous savez ce qui est nécessaire pour sécuriser votre site à l’aide de HTTPS, les options de certificat TLS disponibles et les attentes de confiance des utilisateurs Internet, vous êtes libre de commencer à implémenter les meilleures pratiques de chiffrement sur votre propre site.

Rendez-vous sur The SSL Store, un excellent partenaire dans ce monde quelque peu déroutant de certificats Web et d’acronymes de sécurité. Ils fourniront un support client amical, qualifié pour la sécurité et 24/7 – pour ne pas être surpassé par les meilleurs hébergeurs Web.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me