Quelle est la différence et comment ça marche

Transport Layer Security (TLS) est la dernière version du protocole Secure Socket Layer (SSL). Les deux protocoles garantissent la confidentialité et l’authenticité des données sur Internet. Ces protocoles largement utilisés offrent une sécurité de bout en bout en appliquant un cryptage pour les communications Web. Cependant, malgré les similitudes entre TLS et SSL, ils présentent également des différences significatives.

Cet article explique le fonctionnement des protocoles de cryptage TLS et SSL, leur importance, leurs différences et pourquoi c’est le bon moment pour passer au protocole TLS.

Le contexte historique de TLS et SSL

L’Internet Engineering Task Force (IETF), l’organisation responsable du développement des normes Internet, a publié une demande de commentaires (RFC-1984), reconnaissant l’importance de la protection des données personnelles dans un Internet en pleine croissance. La Netscape Communication Corporation a introduit SSL pour sécuriser la communication Web qui a subi plusieurs mises à niveau.

La version SSL 1.0 n’a jamais été publiée en raison de failles de sécurité et SSL 2.0 a été la première version publique de Netscape en 1995. Cependant, en raison de vulnérabilités et d’inconvénients en matière de sécurité, elle a été remplacée par une autre version SSL 3.0 en novembre 1996. La dernière version SSL n’est pas non plus utilisé en raison de son insécurité face à l’attaque POODLE d’octobre 2014 et a été officiellement obsolète en juin 2015.

TLS a été publié en 1999 en tant que protocole indépendant de l’application : une mise à niveau vers SSL version 3.0 réalisée par Internet Engineering Task Force (IETF). L’idée était d’implémenter TLS sur TCP pour chiffrer les applications à l’aide des protocoles FTP, IMAP, SMTP et HTTP. Par exemple, HTTPS est une version sécurisée de HTTP car il implémente TLS pour assurer une livraison sécurisée des données en évitant les altérations de contenu et les écoutes clandestines.

UTILISEZ LA VIDÉO DU JOUR

Fonctionnement de base des protocoles TLS/SSL

La communication entre les parties (par exemple, le navigateur de votre ordinateur et un site Web) commence en identifiant s’il incorporera ou non le protocole TLS/SSL, de sorte que le client peut spécifier l’utilisation du cryptage TLS soit en :

  • Spécification d’un port prenant en charge le cryptage de communication SSL, ou
  • En faisant des requêtes spécifiques au protocole TLS

En attendant, un site Web nécessite un certificat TLS/SSL installé sur son serveur d’hébergement pour utiliser le protocole. Un tiers de confiance émet le certificat qui lie la clé publique au domaine propriétaire de la clé privée et lui permet de chiffrer/déchiffrer la communication.

Après avoir accepté d’utiliser TLS/SSL pour la communication client-serveur, il procède à la prise de contact. La poignée de main établit les spécifications requises pour échanger des messages. La section suivante résume la série d’échanges d’informations pour activer la connexion TLS/SSL :

  1. Les parties conviennent de la version du protocole qu’elles utiliseront, puis
  2. Décide des algorithmes cryptographiques ou de la suite de chiffrement à utiliser, puis
  3. Authentifie les parties communicantes avec leur clé publique et les signatures numériques de l’autorité de certification émettrice, puis
  4. Échange les clés de session à utiliser lors de la communication. Les protocoles TLS et SSL utilisent la cryptographie asymétrique pour générer des clés partagées (publiques) et privées.

Si le navigateur ne peut pas valider le certificat TLS/SSL, il renvoie une erreur « La connexion n’est pas privée ».

Après avoir établi la méthode de décryptage lors de la prise de contact, le protocole d’enregistrement utilise un cryptage symétrique pour la communication pendant toute la session. En outre, le protocole d’enregistrement ajoute également au message le HMAC pour TLS et le MAC pour SSL pour garantir l’intégrité des données.

Par conséquent, les protocoles accomplissent trois objectifs fondamentaux de sécurité :

  • Confidentialité: Crypte les données pour les cacher aux tiers de sorte que seul un destinataire prévu puisse voir le contenu.
  • Intégrité: Applique le code d’authentification du message pour vérifier le contenu du message chiffré.
  • Authentification: Authentifie l’identité du site Web/client/serveur à l’aide d’un certificat pour garantir que les parties qui échangent des informations ne peuvent pas revenir sur leur identité.

Quelle est la différence entre TLS et SSL ?

Comme mentionné précédemment, la principale différence que vous remarquez entre les deux protocoles est la manière dont ils établissent les connexions. La poignée de main TLS utilise un moyen implicite d’établir une connexion via un protocole, tandis que SSL établit des connexions explicites avec un port.


Indépendamment de toutes les autres différences, la caractéristique fondamentale qui différencie les deux connexions TLS/SSL est l’utilisation d’une suite de chiffrement qui décide de la sécurité globale de la connexion.

La partie essentielle d’une connexion TLS/SSL consiste à se mettre d’accord sur une suite de chiffrement qui définit un ensemble d’algorithmes pour l’échange de clés, l’authentification, le chiffrement en bloc et un code d’authentification de message basé sur le hachage (HMAC) ou des algorithmes de code d’authentification de message, etc. pour une séance particulière. Chaque version TLS/SSL prend en charge un ensemble différent de suites de chiffrement pour la session de communication. Par conséquent, chaque suite de chiffrement prend en charge son propre ensemble d’algorithmes qui améliore la sécurité et les performances globales de la connexion.

SSL TLS
SSL est un protocole complexe à mettre en œuvre. TLS est un protocole plus simple.
SSL a trois versions, dont SSL 3.0 est la dernière. TLS a quatre versions, dont la version TLS 1.3 est la dernière
Toutes les versions du protocole SSL sont vulnérables aux attaques. Le protocole TLS offre une haute sécurité.
SSL utilise un code d’authentification de message (MAC) après le cryptage du message pour l’intégrité des données TLS utilise un code d’authentification de message basé sur le hachage dans son protocole d’enregistrement.
SSL utilise le résumé des messages pour créer un secret principal. TLS utilise une fonction pseudo-aléatoire pour créer un secret principal.


Pourquoi TLS a-t-il remplacé SSL ?

Le chiffrement TLS est désormais une pratique standard pour protéger les applications Web ou les données en transit contre les écoutes clandestines et la falsification. Il est irréaliste de supposer que TLS est le protocole le plus sécurisé car il a été sujet à des violations telles que Crime et Heartbleed en 2012 et 2014, mais il a montré de nombreuses améliorations en termes de performances et de sécurité.

TLS remplace SSL, et presque toutes les versions SSL sont désormais obsolètes en raison de ses vulnérabilités connues. Google Chrome est un exemple qui a cessé d’utiliser la version SSL 3.0 en 2014, et la plupart des navigateurs Web modernes ne prennent pas du tout en charge SSL.

Utiliser TLS pour une communication chiffrée

TLS aide à sécuriser les informations sensibles en transit telles que les détails de carte de crédit, les e-mails, la voix sur IP (VOIP), le transfert de fichiers et les mots de passe. Même si les deux certificats effectuent la tâche de chiffrement des données en transit, ils diffèrent par leurs fonctionnalités et ne sont pas interopérables.

Il est important de noter que TLS est appelé SSL uniquement parce que SSL est la terminologie la plus couramment utilisée et que la présence d’un certificat ne garantit pas l’utilisation du protocole TLS. En outre, vous n’avez pas à vous soucier de la modification des certificats SSL en TLS car tout ce que vous avez à faire est d’installer le certificat sur le serveur car il prend en charge les deux protocoles et décide lequel utiliser.


applications de plug-ins pour les blogs
7 raisons pour lesquelles votre site a besoin d’un certificat SSL

Peu importe si vous développez un blog modeste ou un site de commerce électronique complet : vous avez besoin d’un certificat SSL. Voici quelques raisons pratiques pourquoi.

Lire la suite


A propos de l’auteur

Source-133