Crédit image : zviray
L’épidémie chronique de cécité faciale qui touche la population de Metropolis et l’empêche de réaliser que Clark Kent et l’extraterrestre volant flippant qui lui ressemble sont en fait la même personne s’étend au secteur de la technologie où nous nous disputons continuellement pour savoir à quel point il faut être pédant sur la différence entre « SSL » et « TLS ».
Get the Free Pen Testing Active Directory Environments EBook
Pour être juste, la situation est moins un « SSL vient de la Terre » et « TLS vient de Krypton » qu’une histoire très positive sur la façon dont les normes de cryptage ont été continuellement améliorées et comment les méthodes désuètes et non sécurisées de communication entre clients et serveurs ont été dépréciées pour stimuler la sécurité globale d’Internet.
Qu’est-ce que SSL ?
Netscape a développé la version 1.0 du protocole Secure Sockets Layer (SSL) il y a plus de 20 ans afin que les gens puissent utiliser leur navigateur pour naviguer en toute sécurité sur Geocities et partager des œuvres d’art ASCII de Star Trek en toute sécurité.
Comme tous les premiers efforts d’expédition de crypto pratique, les versions SSL 1.0 à 3.0 se sont révélées présenter quelques problèmes de sécurité qui ont nécessité des versions itératives de conceptions de plus en plus fondamentalement sûres.
Qu’est-ce que TLS ?
En 1999, la version 1.0 du protocole Transport Layer Security (TLS) a été publiée. Le changement de nom visait à préciser qu’il s’agissait d’une norme ouverte que toute entreprise ou projet pouvait intégrer et non d’un produit propriétaire de Netscape (qui, à l’époque, vendait encore le logiciel de serveur Web « Netscape Enterprise Server » qui utilisait « SSL » pour le cryptage du transport). De plus, TLS a été conçu pour être indépendant du protocole d’application, alors que SSL a été initialement conçu de manière assez étroite pour les seules connexions HTTP.
Lequel dois-je dire ?
Linguistiquement, le terme « SSL » a gagné dans la guerre du « Comment devrions-nous appeler le truc qui fait que la serrure apparaît et est verte ? ». Pour s’en convaincre, il suffit de consulter la comparaison de Google Trends entre « SSL et TLS ».
À cause de cela, chaque fois que vous parlez du concept global – ou lorsque vous essayez d’expliquer cela à un public non technique – « SSL » devient le terme générique communément accepté, car c’est très probablement ce dont ils ont entendu parler et les avantages d’une communication claire sur le plan conceptuel sont généralement primordiaux.
Lorsque l’on parle du protocole et de savoir quelles versions de SSL/TLS doivent être activées, « TLS » est par nécessité préféré car la version exacte importe en raison des changements dans la façon dont les chiffres, etc. sont gérés.
Sur un plan pratique, cependant, il y a des avantages significatifs en matière de sécurité et d’administration à savoir :
- Que différentes versions de SSL/TLS existent.
- Que les anciens systèmes ne peuvent pas se connecter aux plus récents en cas de non-concordance de protocole. Si vous vous êtes déjà demandé pourquoi Internet Explorer sur une nouvelle installation Windows 95 ne peut pas se connecter à des sites HTTPS, voilà votre réponse.
- Que vous devriez avoir une politique organisationnelle consistant à n’activer que les versions ultérieures de TLS. (TLS 1.0 n’est pas acceptable pour la conformité PCI)
- Que de nombreux appareils et applications prennent encore en charge des versions plus anciennes et non sécurisées de TLS/SSL que vous devez spécifiquement désactiver.
En fin de compte, la question » quelle est la différence entre SSL et TLS ? » est excellente – ne serait-ce que pour discuter de ces points pratiques et faire comprendre pourquoi les points les plus fins des protocoles de sécurité sont importants.