TLS contre SSL
Il existe un certain nombre de différences entre SSL et TLS car TLS est le successeur de SLS, qui seront toutes abordées dans cet article. SSL, qui fait référence à Secure Socket Layer, est un protocole utilisé pour sécuriser les connexions entre un serveur et un client. Ce protocole utilise des mécanismes de sécurité tels que la cryptographie et le hachage pour fournir des services de sécurité tels que la confidentialité, l'intégrité et l'authentification des terminaux aux connexions entre un serveur et un client. TLS, qui fait référence à Transport Layer Security, est le successeur de SSL, qui inclut des corrections de bogues et des améliorations par rapport à SSL. SSL, qui est maintenant un peu ancien, comporte de nombreux bogues de sécurité connus et il est donc recommandé d'utiliser la dernière version de TLS, qui est TLS 1.2. SSL est arrivé aux versions 3.0 et après cela, le nom a été changé en TLS.
Qu'est-ce que SSL ?
SSL, qui fait référence à Secure Socket Layer, est un protocole utilisé pour fournir des connexions sécurisées entre un client et un serveur. Une connexion TCP peut fournir un lien fiable entre un serveur et un client mais ne peut pas fournir des services tels que la confidentialité, l'intégrité et l'authentification du point final. Ainsi, SSL a été introduit par Netscape au début des années 1990 pour fournir ces services. La première version de SSL, connue sous le nom de SSL 1.0, n'a jamais été rendue publique car elle présentait de nombreuses failles de sécurité. Cependant, en 1995, SSL 2.0, qui offrait une meilleure sécurité que SSL 1.0, a été introduit et, en 1996, SSL 3.0 a été introduit avec plus d'améliorations. Les prochaines versions du protocole SSL sont apparues sous le nom de TLS.
SSL, qui est implémenté dans la couche transport, peut sécuriser un protocole tel que TCP en appliquant diverses mesures de sécurité. Il assurera la confidentialité en utilisant des cryptages pour empêcher quiconque d'écouter. Il utilise à la fois un cryptage asymétrique et symétrique. Tout d'abord, en utilisant le chiffrement à clé asymétrique, une clé de session symétrique est établie qui serait ensuite utilisée pour chiffrer le trafic. La cryptographie à clé asymétrique est également utilisée pour les certificats numériques utilisés pour authentifier le serveur. Ensuite, le code d'authentification de message, qui utilise diverses techniques de hachage, est utilisé pour assurer l'intégrité (identifier toute modification non authentifiée apportée aux données réelles). Ainsi, un protocole comme SSL permet de transmettre des informations sensibles telles que les transactions bancaires et les informations de carte de crédit sur Internet. En outre, il est utilisé pour assurer la confidentialité de services tels que le courrier électronique, la navigation Web, la messagerie et la voix sur IP.
SSL est maintenant obsolète et présente de nombreux problèmes de sécurité où son utilisation n'est pas très recommandée actuellement. SSL 3.0 était activé par défaut jusqu'à récemment dans de nombreux navigateurs, mais ils prévoient maintenant de le désactiver dans les futures versions en raison de graves bogues de sécurité tels que l'attaque POODLE.
Qu'est-ce que TLS ?
TLS, qui fait référence à Transport Layer Security, est le successeur de SSL. Après SSL 3.0, la version suivante est apparue sous le nom de TLS 1.0 en 1999. Puis, en 2006, une version améliorée nommée TLS 1.1 a été introduite. Puis, en 2008, d'autres améliorations et corrections de bogues ont été apportées et TLS 1.2 a été introduit. Actuellement, TLS 1.2 est la dernière version disponible de Transport Layer Security. Tout comme SSL, TLS fournit également des services de sécurité tels que la confidentialité, l'intégrité et l'authentification des terminaux. De même, le cryptage, le code d'authentification des messages et les certificats numériques sont utilisés pour fournir ces services de sécurité. TLS est immunisé contre les attaques telles que l'attaque POODLE, qui a compromis la sécurité de SSL 3.0.
La recommandation est d'utiliser la dernière version de TLS, TLS 1.2, car c'est la dernière qui présente le moins de failles de sécurité. Tout système de sécurité n'est pas parfait et avec le temps, des failles seraient détectées et à l'avenir, la version 1.3 de TLS sera publiée pour corriger ces erreurs détectées. Cependant, actuellement, TLS 1.2 est le plus sécurisé et, dans tous les navigateurs grand public, il est activé par défaut.
Quelle est la différence entre SSL et TLS ?
• TLS est le successeur de SLS. SLS a été introduit dans les années 1990 et trois versions ont été introduites, à savoir SSL 1.0, SSL 2.0 et SSL 3.0. Après cela, en 1999, la prochaine version de SSL a été nommée TLS 1.0. Ensuite, TLS 1.1 a été introduit et la dernière version actuelle est TLS 1.2.
• SSL a beaucoup de bogues et est plus sensible aux attaques connues que TLS. Dans les dernières versions de TLS, la plupart des bogues ont été corrigés et sont donc immunisés contre les attaques.
• TLS a de nouvelles fonctionnalités et prend en charge de nouveaux algorithmes par rapport à SSL.
• Avec l'attaque appelée POODLE attack, l'utilisation de SSL est devenue très vulnérable et, dans les nouvelles versions des navigateurs Web, SSL sera désactivé par défaut. Cependant, dans tous les navigateurs, TLS est activé par défaut.
• TLS prend en charge de nouvelles suites d'algorithmes d'authentification et d'échange de clés telles que ECDH-RSA, ECDH-ECDSA, PSK et SRP.
• Les suites d'algorithmes de code d'authentification de message telles que HMAC-SHA256/384 et AEAD sont disponibles dans les dernières versions de TLS, mais pas dans SSL.
• SSL a été développé et édité sous Netscape. Cependant, TLS est sous Internet Engineering Task Force en tant que protocole standard et est donc disponible sous RFC.
• Il existe des différences dans la mise en œuvre du protocole, telles que l'échange de clés et la dérivation de clés.
Résumé:
TLS contre SSL
TLS est le successeur de SSL et donc TLS inclut de nombreuses améliorations et corrections de bogues sur SSL. SSL a été introduit au début des années 1990 et trois versions sont arrivées à SSL 3.0. Puis, en 1999, la prochaine version de SSL est apparue sous le nom de TLS 1.0. Actuellement, la dernière version est TLS 1.2. SSL étant un ancien protocole, il comporte de nombreux bogues de sécurité connus et est donc sensible aux attaques connues telles que l'attaque POODLE. La dernière version de TLS contient des correctifs pour ces attaques tout en prenant également en charge de nouvelles fonctionnalités et algorithmes. Donc, pour les applications qui ont besoin d'une meilleure sécurité, la dernière version de TLS est recommandée plutôt que d'utiliser les anciens protocoles SSL.
