Quelle est la différence entre SSL et TLS ?
Secure Sockets Layer (SSL) est un protocole de communication, ou un ensemble de règles, qui crée une connexion sécurisée entre deux appareils ou applications sur un réseau. Il est important d'établir une relation de confiance et d'authentifier l'autre partie avant de partager des informations d'identification ou des données sur Internet. SSL est une technologie que vos applications ou navigateurs peuvent utiliser pour créer un canal de communication sécurisé et chiffré sur n'importe quel réseau. SSL est toutefois une technologie relativement ancienne qui présente des failles de sécurité. Le protocole TLS (Transport Layer Security) est la version améliorée de SSL : il corrige les vulnérabilités SSL existantes. TLS permet une authentification plus performante et continue à prendre en charge les canaux de communication chiffrés.
Quelles sont les similitudes entre SSL et TLS ?
SSL et TLS sont des protocoles de communication qui chiffrent les données entre les serveurs, les applications, les utilisateurs et les systèmes. Ils authentifient deux parties connectées via un réseau afin qu'elles puissent échanger des données en toute sécurité.
Taher Elgamal a dirigé le développement du protocole SSL et a lancé SSL 2.0 publiquement en 1995. L'objectif du protocole SSL était de sécuriser les communications sur Internet. Après plusieurs itérations de SSL, Tim Dierks et Christopher Allen ont créé le protocole TLS 1.0 en 1999 pour succéder à SSL 3.0.
Terminologie
Le protocole TLS est le successeur direct du protocole SSL, et toutes les versions de SSL sont désormais obsolètes. Cependant, il est fréquent de rencontrer le terme SSL dans la description d'une connexion TLS. Dans la plupart des cas, les termes SSL et SSL/TLS font tous deux référence au protocole TLS et aux certificats TLS.
Objectif
TLS est un protocole de communication sécurisé qui permet le chiffrement et l'authentification. C'était également le cas pour le protocole SSL avant qu'il ne soit abandonné. Les protocoles TLS et SSL utilisent tous deux des certificats numériques qui facilitent l'établissement de liaisons et instaurent des communications chiffrées entre un navigateur et un serveur Web.
Utilisation en HTTPS
HTTP est un protocole ou un ensemble de règles régissant la communication client-serveur sur un réseau. HTTPS consiste à établir un protocole SSL/TLS sécurisé sur une connexion HTTP non sécurisée.
Avant de se connecter à un site Web, votre navigateur utilise le protocole TLS pour vérifier le certificat TLS ou SSL de ce site. Les certificats TLS et SSL indiquent qu'un serveur respecte les normes de sécurité en vigueur. Vous pouvez trouver des preuves concernant le certificat dans la barre d'adresse du navigateur. Une connexion authentique et cryptée affiche https:// au lieu de http://. Le s supplémentaire signifie sécurisé.
Principales différences : SSL contre TLS
Bien que les objectifs de SSL et de TLS soient très similaires, ces protocoles de communication ont un mode de fonctionnement distinct. Ces distinctions se sont développées au fil du temps, au fur et à mesure de l'évolution du protocole SSL avant son remplacement par le protocole TLS.
Établissements de liaisons SSL/TLS
Un établissement de liaison est un processus au cours duquel un navigateur authentifie le certificat SSL ou TLS d'un serveur. Ce processus authentifie les deux parties, puis échange des clés cryptographiques.
Un établissement de liaison SSL était une connexion explicite, tandis qu'un établissement de liaison TLS est une connexion implicite. Le processus d'établissement de liaison SSL comportait plus d'étapes que le processus TLS. En supprimant des étapes supplémentaires et en réduisant le nombre total de suites de chiffrement, le protocole TLS a accéléré le processus.
Messages d'alerte
Les messages d'alerte permettent aux protocoles SSL et TLS de communiquer les erreurs et les avertissements. Dans SSL, il n'existe que deux types de messages d'alerte : les alertes d'avertissement et les alertes fatales. Une alerte d'avertissement indique qu'une erreur est survenue, mais que la connexion peut continuer. Une alerte fatale indique que la connexion doit être interrompue immédiatement. De plus, les messages d'alerte SSL ne sont pas chiffrés.
Le protocole TLS est doté d'un type de message d'alerte supplémentaire, appelé close_notify, qui signale la fin de la session. Les alertes TLS sont également chiffrées pour plus de sécurité.
Authentification des messages
Les protocoles SSL et TLS utilisent tous deux des codes d'authentification des messages (MAC, message authentication codes), une technique cryptographique permettant de vérifier l'authenticité et l'intégrité des messages. À l'aide d'une clé secrète, le protocole d'enregistrement génère le code MAC sous la forme d'un code de longueur fixe et l'attache au message d'origine.
Le protocole SSL utilise l'algorithme MD5 (désormais obsolète) pour la génération de codes MAC. Le protocole TLS utilise le code d'authentification de message utilisant hash (HMAC) pour une cryptographie et une sécurité plus complexes.
Suites de chiffrement
Une suite de chiffrement est un ensemble d'algorithmes qui créent des clés pour chiffrer des informations entre un navigateur et un serveur. En général, une suite de chiffrement inclut un algorithme d'échange de clés, un algorithme de validation, un algorithme de chiffrement en bloc et un algorithme MAC. Plusieurs algorithmes du protocole TLS ont été mis à niveau à partir de SSL pour des raisons de sécurité.
Quelle est la différence entre les certificats SSL et les certificats TLS ?
À l'heure actuelle, l'ensemble des certificats SSL n'est plus utilisé. Les certificats TLS sont la norme du secteur. Cependant, le secteur continue d'utiliser le terme SSL pour désigner les certificats TLS.
Ces derniers ont été développés à partir d'itérations des certificats SSL et les ont améliorés au fil du temps. La fonction finale des certificats SSL et TLS n'a pas changé.
Devez-vous remplacer les certificats SSL par des certificats TLS ?
En raison de la lenteur de l'évolution culturelle, la plupart des certificats TLS sont appelés certificats SSL à tort. Même si votre certificat est désigné comme un certificat SSL, il prendra déjà en charge les protocoles SSL et TLS.
Cependant, il est important de noter que TLS 1.0 et TLS 1.1 sont officiellement devenus obsolètes en 2021. D'ici juin 2023, tous les clients Amazon Web Services devront prendre en charge le protocole TLS 1.2 ou version ultérieure. N'oubliez pas que les certificats et les protocoles sont différents. Vous devez vous assurer que la configuration de votre serveur prend en charge les protocoles TLS.
Résumé des différences : SSL contre TLS
| SSL |
TLS |
|
| Signification |
SSL signifie Secure Sockets Layer (couche de sockets sécurisée). |
TLS signifie Transport Layer Security (sécurité de la couche de transport). |
| Historique des versions |
SSL a désormais été remplacé par TLS. SSL est passé par les versions 1.0, 2.0 et 3.0. |
TLS est la version améliorée de SSL. TLS est passé par les versions 1.0, 1.1, 1.2 et 1.3. |
| Activité |
Toutes les versions de SSL sont désormais obsolètes. |
Les versions 1.2 et 1.3 du protocole TLS sont activement utilisées. |
| Messages d'alerte |
Le protocole SSL ne comporte que deux types de messages d'alerte. Les messages d'alerte ne sont pas chiffrés. |
Les messages d'alerte de TLS sont chiffrés et plus diversifiés. |
| Authentification des messages |
SSL utilise des codes MAC. |
TLS utilise des codes HMAC. |
| Suites de chiffrement |
Le protocole SSL prend en charge d'anciens algorithmes présentant des failles de sécurité connues. |
Le protocole TLS utilise des algorithmes de chiffrement avancés. |
| Établissement de liaison |
L'établissement d'une liaison SSL est complexe et lent. |
L'établissement d'une liaison TLS comporte moins d'étapes et permet une connexion plus rapide. |
Comment AWS peut-il prendre en charge vos exigences SSL/TLS?
Amazon Web Services (AWS) propose AWS Certificate Manager (ACM) pour vous aider à répondre à vos exigences SSL/TLS. Avec ACM, vous pouvez allouer, gérer et déployer facilement des certificats SSL/TLS publics et privés.
Voici d'autres façons de tirer parti d'ACM :
- Protégez vos ressources internes grâce à une communication sécurisée sur les réseaux privés. Protégez par exemple vos serveurs, vos appareils mobiles et connectés à l'Internet des objets (IoT), ainsi que vos applications.
- Maintenez les certificats SSL/TLS, y compris les renouvellements de certificats, grâce à une gestion automatisée des certificats.
- Utilisez des certificats gratuits avec les services AWS intégrés.
Démarrez avec la gestion des certificats SSL/TLS sur AWS en créant un compte gratuit dès aujourd'hui.
Étapes suivantes avec AWS
