Vous avez très cer­tai­ne­ment déjà rencontré ces deux abré­via­tions : SSL et TLS, souvent combinés en SSL/TLS. Elles sont notamment in­con­tour­nables lorsque vous souhaitez con­fi­gu­rer un client de mes­sa­ge­rie ma­nuel­le­ment, ou héberger un site internet. Découvrez ici la dif­fé­rence entre ces deux pro­to­coles.

Nom de domaine
Votre domaine en un clic
  • 1 cer­ti­fi­cat SSL Wildcard par contrat
  • Fonction incluse Domain Connect pour une con­fi­gu­ra­tion DNS sim­pli­fiée

Sig­ni­fi­ca­tion de SSL et TLS

SSL signifie « Secure Socket Layer » et TLS « Transport Layer Security ». Les deux sont des pro­to­coles de chif­fre­ment pour la couche de transport d’Internet. Leur tâche est de procéder au chif­fre­ment des flux de données entre le client et le serveur.

Lorsque la com­mu­ni­ca­tion est effectuée via cette couche de transport chiffrée, un « s » est ajouté au nom du protocole : http devient https, imap devient imaps, etc. On rencontre également l’abré­via­tion SSL lorsqu’on parle de cer­ti­fi­cat SSL. Ce cer­ti­fi­cat est né­ces­saire lorsqu’un site internet souhaite com­mu­ni­quer via https ce qui est aujourd’hui le cas de la grande majorité des sites internet.

Conseil

Vous trouverez des in­for­ma­tions dé­tail­lées sur TLS dans notre article complet sur le sujet.

Dif­fé­rence entre SSL et TLS

Le SSL a été introduit en 1995. Après la dé­cou­verte d’une série de lourdes failles de sécurité, la version 2.0 améliorée a ensuite vu le jour puis la version 3.0 l’année suivante. Plus tard, l’IETF (l’Internet En­gi­nee­ring Task Force, chargée du dé­ve­lop­pe­ment d’Internet) a rejeté SSL 3.0 après la dé­cou­verte de nouvelles failles de sécurité.

Note

SSL 2.0 et SSL 3.0 sont aujourd’hui également appelés SSLv2 et SSLv3.

TLS est le protocole succédant à SSL. Il a été introduit en 1999 en tant que version améliorée de SSL 3.0 et fut tout d’abord baptisé SSL 3.1. La version actuelle est TLS 1.3 (depuis 2018).

Dans un premier temps, l’écart entre SSL 3.0 et TLS 1.0 était mince. « Les dif­fé­rences entre ce protocole (TLS) et SSL 3.0 ne sont pas fon­da­men­tales, mais sont suf­fi­sam­ment im­por­tantes pour que TLS 1.0 et SSL 3.0 ne puissent pas fonc­tion­ner ensemble » (traduit librement de la requête RFC 2246). Par rapport à SSL 3.0, TLS 1.0 a amélioré la sécurité cryp­to­gra­phique et l’in­te­ro­pé­ra­bi­lité des ap­pli­ca­tions. La version TLS 1.2 utilisée ac­tuel­le­ment apporte une sécurité accrue contre les attaques des hackers et permet aux ap­pli­ca­tions une flexi­bi­lité nettement plus grande en ce qui concerne le chif­fre­ment utilisé (cipher suites).

Par con­sé­quent, le TLS actuel est plus sûr, plus flexible et plus efficace que l’ancien SSL. Toutefois, comme l’abré­via­tion « SSL » est aujourd’hui nettement plus connue que « TLS », de nombreux four­nis­seurs de logiciels client, de routeurs, etc. utilisent le terme SSL ou le double terme SSL/TLS alors qu’ils entendent gé­né­ra­le­ment la version actuelle de TLS, à savoir TLS 1.3.

SSL ou TLS : lequel utiliser ?

De nos jours, seul TLS est utilisé. SSL 2.0 et SSL 3.0 sont obsolètes et pas con­si­dé­rés comme sûrs. Il en va de même des anciennes versions de TLS. Aujourd’hui, vous pouvez uni­que­ment utiliser TLS 1.2 sous certaines con­di­tions listées dans la spé­ci­fi­ca­tion de TLS 1.3. En revanche, évitez tous les pro­to­coles SSL (dont l’uti­li­sa­tion est au­jour­d'hui ir­re­ce­vable), ainsi que les versions 1.0 et 1.1 de TLS (qui ne seront bientôt plus sup­por­tées). Sur les serveurs bien con­fi­gu­rés, ces pro­to­coles obsolètes sont dé­sac­ti­vés.

Image: Capture d’écran de GlobalSign
Exemple de con­fi­gu­ra­tion de serveur correcte : seul TLS 1.2 est activé. Source : https://glo­bal­sign.ssllabs.com/
Conseil

Cet outil de Glo­bal­Sign vous permet de vérifier les pro­to­coles de chif­fre­ment activés sur le serveur d’un site internet donné.

Aller au menu principal