TLS vs. SSL : quelle est la différence ?
Vous avez très certainement déjà rencontré ces deux abréviations : SSL et TLS, souvent combinés en SSL/TLS. Elles sont notamment incontournables lorsque vous souhaitez configurer un client de messagerie manuellement, ou héberger un site internet. Découvrez ici la différence entre ces deux protocoles.
- Domaine .eu ou .fr + éditeur de site gratuit pendant 6 mois
- 1 certificat SSL Wildcard par contrat
- Boîte email de 2 Go
Signification de SSL et TLS
SSL signifie « Secure Socket Layer » et TLS « Transport Layer Security ». Les deux sont des protocoles de chiffrement pour la couche de transport d’Internet. Leur tâche est de procéder au chiffrement des flux de données entre le client et le serveur.
Lorsque la communication est effectuée via cette couche de transport chiffrée, un « s » est ajouté au nom du protocole : http devient https, imap devient imaps, etc. On rencontre également l’abréviation SSL lorsqu’on parle de certificat SSL. Ce certificat est nécessaire lorsqu’un site internet souhaite communiquer via https ce qui est aujourd’hui le cas de la grande majorité des sites internet.
Vous trouverez des informations détaillées sur TLS dans notre article complet sur le sujet.
Différence entre SSL et TLS
Le SSL a été introduit en 1995. Après la découverte d’une série de lourdes failles de sécurité, la version 2.0 améliorée a ensuite vu le jour puis la version 3.0 l’année suivante. Plus tard, l’IETF (l’Internet Engineering Task Force, chargée du développement d’Internet) a rejeté SSL 3.0 après la découverte de nouvelles failles de sécurité.
SSL 2.0 et SSL 3.0 sont aujourd’hui également appelés SSLv2 et SSLv3.
TLS est le protocole succédant à SSL. Il a été introduit en 1999 en tant que version améliorée de SSL 3.0 et fut tout d’abord baptisé SSL 3.1. La version actuelle est TLS 1.3 (depuis 2018).
Dans un premier temps, l’écart entre SSL 3.0 et TLS 1.0 était mince. « Les différences entre ce protocole (TLS) et SSL 3.0 ne sont pas fondamentales, mais sont suffisamment importantes pour que TLS 1.0 et SSL 3.0 ne puissent pas fonctionner ensemble » (traduit librement de la requête RFC 2246). Par rapport à SSL 3.0, TLS 1.0 a amélioré la sécurité cryptographique et l’interopérabilité des applications. La version TLS 1.2 utilisée actuellement apporte une sécurité accrue contre les attaques des hackers et permet aux applications une flexibilité nettement plus grande en ce qui concerne le chiffrement utilisé (cipher suites).
Par conséquent, le TLS actuel est plus sûr, plus flexible et plus efficace que l’ancien SSL. Toutefois, comme l’abréviation « SSL » est aujourd’hui nettement plus connue que « TLS », de nombreux fournisseurs de logiciels client, de routeurs, etc. utilisent le terme SSL ou le double terme SSL/TLS alors qu’ils entendent généralement la version actuelle de TLS, à savoir TLS 1.3.
SSL ou TLS : lequel utiliser ?
De nos jours, seul TLS est utilisé. SSL 2.0 et SSL 3.0 sont obsolètes et pas considérés comme sûrs. Il en va de même des anciennes versions de TLS. Aujourd’hui, vous pouvez uniquement utiliser TLS 1.2 sous certaines conditions listées dans la spécification de TLS 1.3. En revanche, évitez tous les protocoles SSL (dont l’utilisation est aujourd'hui irrecevable), ainsi que les versions 1.0 et 1.1 de TLS (qui ne seront bientôt plus supportées). Sur les serveurs bien configurés, ces protocoles obsolètes sont désactivés.
Cet outil de GlobalSign vous permet de vérifier les protocoles de chiffrement activés sur le serveur d’un site internet donné.