Quelle est la différence entre TLS et SSL ? Lequel choisir ?

TLS et SSL sont des protocoles qui permettent d’authentifier et de transférer des données en toute sécurité sur Internet. SI vous êtes ici, c’est que vous vous demandez sûrement ce qui différencie les protocoles TLS et SSL, et s’il faut s’en inquiéter.

Cet article explique les principales différences entre TLS et SSL et comment connecter les deux protocoles via HTTPS. Nous expliquerons également pourquoi, en tant qu’utilisateur, vous ne devriez pas trop vous soucier de la différence entre TLS et SSL.

I. TLS différent de SSL ?

TLS (Transport Layer Security) et SSL (Secure Socket Layers) sont des protocoles qui aident à crypter les données et authentifier les connexions lorsqu’elles transitent sur Internet. Par exemple, si dans votre site Web on retrouve des services comme le paiement par carte de crédit, TLS et SSL vous aideront à traiter ces données en toute sécurité afin d’éviter qu’une personne malveillante puisse accéder et utiliser ces données.

Quelle est donc la différence entre TLS et SSL ?

TLS est tout simplement une version plus récente de SSL. Son but est de corriger certaines failles de sécurité que l’on trouve sur les anciens protocoles SSL. 

Avant d’entrer dans les détails, il est important de comprendre l’historique de base de SSL et TLS. SSL 2.0 a été publié en février 1995 (SSL 1.0 n’a jamais vu le jour en raison de problèmes de sécurité). Bien que SSL 2.0 ait été rendu public, il contenait également des failles de sécurité et a été rapidement remplacé par SSL 3.0 en 1996. Plus tard en 1999, la première version de TLS (1.0) a été mise à niveau vers SSL 3.0. Depuis lors, TLS a eu trois autres versions, la dernière étant TLS 1.3 datant d’août 2018.

Pour résumer l’historique de mises à niveau de ces deux protocoles : 

• SSL 1.0 : jamais publié en raison de problèmes de sécurité
• SSL 2.0 :  réalisé en 1995. Déprécié en 2011. À des problèmes de sécurité connus
• SSL 3.0 :  réalisé en 1996. Déprécié en 2015. À des problèmes de sécurité connus
• TLS 1.0  : réalisé en 1999 en tant que mise à niveau vers SSL 3.0. Dépréciation prévue en 2020
• TLS 1.1 : réalisé en 2006
• TLS 1.2 : réalisé en 2008
• TLS 1.3 : réalisé en 2018

II. Fonctionnement des protocoles TLS et SSL

Lorsque vous installez un certificat SSL/TLS (simplement appelé « certificat SSL ») sur votre serveur Web, il contient des clés publiques et privées qui permettent d’authentifier le serveur et lui permettent de chiffrer et décrypter les données. Lorsqu’un visiteur accède à un site Web, le navigateur recherche le certificat SSL/TLS de celui-ci qui effectue alors une handshake pour vérifier la validité du certificat et authentifier le serveur. Si le certificat SSL n’est pas valide, les utilisateurs verront s’afficher l’erreur « Votre connexion n’est pas privée » sur la page qu’ils tentent d’accéder.

Une fois que le navigateur du visiteur détermine que le certificat est valide et authentifie le serveur, il crée une connexion cryptée entre lui-même et le serveur pour une transmission sécurisée des données. C’est là qu’intervient HTTPS (HTTPS signifie HTTP sur SSL/TLS). HTTP est un protocole d’application qui joue un rôle important dans la transmission d’informations sur Internet. Avec un HTTP simple, les informations de votre site sont vulnérables aux attaques. Mais l’utilisation de HTTP sur SSL ou TLS (c’est-à-dire, utiliser HTTPS) le rend plus sûr en chiffrant et en authentifiant les données en transit. 

C’est pourquoi les détails de carte de crédit peuvent être traités en toute sécurité  via HTTPS mais pas via HTTP, et  pourquoi Google Chrome encourage fortement l’adoption de HTTPS.

2.1. Alors, pourquoi parle t-on encore de protocole SSL ?

Nous avons appris que le protocole TLS était la dernière version de SSL et que les deux versions publiques de SSL sont devenues obsolètes depuis plusieurs années et contiennent des failles de sécurité connues. Vous vous demandez peut-être pourquoi on entend parler de certificat SSL et non de certificat TLS ? TLS est le protocole de sécurité moderne après tout.

La raison pour laquelle on entend encore parler des certificats SSL est essentiellement un problème de marque. Les principaux fournisseurs de certificats font encore référence à leurs certificats en tant que certificats SSL, de cette façon, la dénomination est conservée. En fait, tous les « certificats SSL” annoncés sont des certificats SSL/TLS. En d’autres termes, les certificats peuvent utiliser à la fois les protocoles SSL et TLS. Vous n’avez pas qu’un seul certificat SSL ou TLS, ainsi, ce n’est pas la peine de remplacer votre certificat SSL par un certificat TLS.

III. Quel protocole utiliser alors entre TLS et SSL ?

Comme nous l’avons vu, les deux versions publiques de SSL sont devenues obsolètes en raison de vulnérabilités de sécurité connues. SSL n’est donc plus un protocole complètement sécurisé depuis 2019. TLS, perçue comme la version moderne de SSL est sécurisée. De plus, les nouvelles versions de TLS offrent plus d’avantages comme les performances et d’autres améliorations. 

TLS n’est pas seulement  plus sécurisé et plus performant, vu que la plupart des navigateurs Web ne prennent plus en charge SSL 2.0 et SSL 3.0 (Google Chrome abandonnera la prise en charge de SSL 3.0 en 2014), ce qui en fait le protocole le plus optimal à ce jour en comparaison de SSL. Google a même commencé à afficher des notifications d’avertissement ERR_SSL_OBSOLETE_VERSION dans Chrome lorsque le protocole utilisé par le site web n’est pas pris en charge par le navigateur.

Alors, comment pouvez-vous être sûr que vous utilisez la dernière version de TLS au lieu de l’ancien protocole SSL non sécurisé ? 

Notez d’abord que le certificat ne correspond pas au protocole utilisé par le serveur Aucune modification de certificat n’est requise pour utiliser TLS. Même s’il s’agit d’un « certificat SSL », le certificat prend déjà en charge les protocoles SSL et TLS. Vous pouvez inspecter quel protocole est utilisé par votre site Web au niveau du serveur. Et si vous constatez que votre serveur prend en charge les anciens protocoles SSL, vous pouvez demander de l’aide à votre hébergeur.

3.1. Pourquoi trouve-t-on des protocoles TLS multiples pour un site web ?

Comme nous l’avons appris ci-dessus, le fameux handshake SSL/TLS se compose en deux parties : 

• Serveur Web 
• Client 

Les deux doivent prendre en charge le même protocole pour que la prise de contact fonctionne (handshake). Ainsi, le principal avantage de plusieurs protocoles est la compatibilité. Pour exemple, Chrome et Firefox ont ajouté la prise en charge de TLS 1.3 quasiment après leur sortie en 2018, tandis qu’Apple et Microsoft ont mis du temps à ajouter la prise en charge de TLS 1.3. Ainsi, l’activation de TLS 1.3 et TLS 1.2 sur votre serveur garantit la compatibilité dans tous les cas, et ce tout en utilisant TLS 1.3 sur les navigateurs qui le prennent en charge (Chrome et Firefox).

En conclusion sur les protocoles TLS et SSL

En résumé, TLS et SSL sont  des protocoles utilisés pour authentifier et chiffrer les transferts de données sur Internet. Les deux sont étroitement liés et TLS est en fait  la version la plus récente et la plus sécurisée de SSL. SSL est toujours le terme dominant sur Internet, mais la plupart des gens parlent en fait de TLS lorsqu’ils parlent de SSL. 

Les protocoles SSL et TLS nécessitent l’installation d’un certificat sur le serveur. La plupart des gens les appellent « certificats SSL », mais ces certificats prennent en charge les protocoles SSL et TLS. Vous n’avez pas à vous soucier de « changer » un certificat SSL en certificat TLS. Si vous avez déjà installé un « certificat SSL », nous vous confirmons qu’il prend également en charge TLS. 

Le protocole SSL n’est plus sécurisé, il est donc important d’utiliser la dernière version de TLS, mais les certificats ne déterminent pas le protocole utilisé par un serveur. Une fois que vous avez votre certificat, vous pouvez choisir le protocole à utiliser au niveau du serveur à la place.