SSL vs TLS – Quelle différence ? Imprimer

  • 1

SSL et TLS : rappel historique

SSL (Secure Socket Layer) et TLS (Transport Layer Security) sont deux protocoles cryptographiques qui permettent l’authentification, et le chiffrement des données qui transitent entre des serveurs, des machines et des applications en réseau (notamment lorsqu’un client se connecte à un serveur Web). Le SSL est le prédécesseur du TLS. Au fil du temps, de nouvelles versions de ces protocoles ont vu le jour pour faire face aux vulnérabilités et prendre en charge des suites et des algorithmes de chiffrement toujours plus forts, toujours plus sécurisés.

Initialement développé par Netscape, le SSL sort en 1995 dans sa version SSL 2.0 (le SSL 1.0 n’étant jamais sorti). Mais après la découverte de plusieurs vulnérabilités en 1996, la version 2.0 est vite remplacée par le SSL 3.0. Remarque : les versions 2.0 et 3.0 sont parfois libellées ainsi : SSLv2 et SSLv3.

Quel protocole utiliser : SSL ou TLS ?

Les versions SSL 2.0 et 3.0 ont toutes deux été désapprouvées par l’IETF (en 2011 et 2015, respectivement). Des vulnérabilités (comme POODLE, et DROWN) ont été et continuent d’être découvertes dans les protocoles SSL désapprouvés. La plupart des navigateurs récents dégradent l’expérience utilisateur (cadenas ou préfixe HTTPS barré dans la barre d’URL, affichage d’avertissements de sécurité) lorsqu’ils rencontrent un serveur Web qui utilise d’anciens protocoles. Nous vous recommandons donc de désactiver les versions SSL 2.0 et 3.0 dans votre configuration serveur pour ne conserver que les protocoles TLS.

 


Cette réponse était-elle pertinente?

« Retour