Différence entre SSL et TLS

Il y a un certain nombre de différences entre SSL et TLS puisque TLS est le successeur de SSL. SSL fait référence à Secure Socket Layer, est un protocole utilisé pour assurer la sécurité des connexions entre un serveur et un client. Ce protocole utilise des mécanismes de sécurité tels que la cryptographie et le hachage pour fournir des services de sécurité tels que la confidentialité, l’intégrité et l’authentification des points de terminaison aux connexions entre un serveur et un client. TLS fait référence à Transport Layer Security, est le successeur de SSL, qui inclut des corrections de bugs et des améliorations par rapport à SSL. Le SSL, est un peu vieux, a beaucoup de bugs de sécurité connus et donc ce qui est recommandé d’être utiliser est la dernière version de TLS, qui est TLS 1.2. SSL est venu aux versions 3.0 après que le nom a été changé en TLS.
 

Qu’est-ce que SSL?

SSL, qui fait référence à Secure Socket Layer, est un protocole utilisé pour fournir des connexions sécurisées entre un client et un serveur. Une connexion TCP peut fournir un lien fiable entre un serveur et un client mais ne peut pas fournir des services tels que la confidentialité, l’intégrité et l’authentification du point de terminaison. Ainsi, SSL a été introduit par Netscape au début des années 1990 pour fournir ces services. La première version de SSL, connue sous le nom de SSL 1.0, n’a jamais été diffusée au public car elle comportait de nombreuses failles de sécurité. Cependant, en 1995, SSL 2.0, qui offrait une meilleure sécurité que SSL 1.0, a été introduit et, en 1996, SSL 3.0 a été introduit avec plus d’améliorations. Les prochaines versions du protocole SSL sont apparues sous le nom TLS.

SSL, qui est implémenté dans la couche de transport, peut sécuriser un protocole tel que TCP en appliquant diverses mesures de sécurité. Il fournira la confidentialité en utilisant des cryptages pour empêcher quiconque d’espionner. Il utilise à la fois le cryptage asymétrique et symétrique. Tout d’abord, en utilisant un chiffrement à clé asymétrique, une clé de session symétrique est établie qui sera ensuite utilisée pour chiffrer le trafic. La cryptographie à clé asymétrique est également utilisée pour les certificats numériques utilisés pour authentifier le serveur. Ensuite, le code d’authentification de message, qui utilise diverses techniques de hachage, est utilisé pour assurer l’intégrité (identifier toute modification non authentifiée apportée aux données réelles). Ainsi, un protocole comme SSL permet de transmettre des informations sensibles telles que les transactions bancaires et les informations de carte de crédit sur Internet. En outre, il est utilisé pour fournir la confidentialité pour des services tels que le courrier électronique, la navigation Web, la messagerie et la voix sur IP.

SSL est maintenant obsolète et présente de nombreux problèmes de sécurité, dont l’utilisation est actuellement peu recommandée. SSL 3.0 a été activé par défaut jusqu’à récemment dans de nombreux navigateurs, mais maintenant ils prévoient de le désactiver dans les futures versions en raison de graves bogues de sécurité tels que l’attaque POODLE.

Qu’est-ce que TLS?

TLS, qui fait référence à Transport Layer Security, est le successeur de SSL. Après SSL 3.0, la version suivante a émergé en tant que TLS 1.0 en 1999. Ensuite, en 2006, une version améliorée nommée TLS 1.1 a été introduite. Puis, en 2008, d’autres améliorations et corrections de bugs ont été faites et TLS 1.2 a été introduit. Actuellement, TLS 1.2 est la dernière version de Transport Layer Security disponible. Tout comme SSL, TLS fournit également des services de sécurité tels que la confidentialité, l’intégrité et l’authentification des points de terminaison. De même, le chiffrement, le code d’authentification des messages et les certificats numériques sont utilisés pour fournir ces services de sécurité. TLS est immunisé contre les attaques telles que l’attaque POODLE, qui a compromis la sécurité de SSL 3.0.

La recommandation est d’utiliser la dernière version de TLS, TLS 1.2, car elle est la dernière à présenter les failles de sécurité les plus faibles. Tout système de sécurité n’est pas parfait et, avec le temps, des failles seraient détectées et à l’avenir, la version 1.3 de TLS, qui corrigera les erreurs détectées, sera publiée. Cependant, actuellement, TLS 1.2 est le plus sécurisé et, dans tous les navigateurs grand public, il est activé par défaut.

Quelle est la différence entre SSL et TLS?

• TLS est le successeur de SLS. SLS a été introduit dans les années 1990 et trois versions ont été introduites, à savoir SSL 1.0, SSL 2.0 et SSL 3.0. Après cela, en 1999, la prochaine version de SSL a été nommée TLS 1.0. Ensuite, TLS 1.1 a été introduit et la dernière version actuelle est TLS 1.2.
• SSL a beaucoup de bogues et est susceptible d’attaques connues que TLS. Dans les dernières versions de TLS, la plupart des bogues ont été corrigés et sont donc immunisés contre les attaques.
• TLS a de nouvelles fonctionnalités et prend en charge de nouveaux algorithmes par rapport à SSL.
• Avec l’attaque appelée POODLE attack, l’utilisation de SSL est devenue très vulnérable et, dans les nouvelles versions des navigateurs Web, SSL sera désactivé par défaut. Cependant, dans tous les navigateurs, TLS est activé par défaut.
• TLS prend en charge de nouvelles suites d’algorithmes d’authentification et d’échange de clés telles que ECDH-RSA, ECDH-ECDSA, PSK et SRP.
• Les suites d’algorithmes de code d’authentification de message telles que HMAC-SHA256 / 384 et AEAD sont disponibles dans les versions les plus récentes de TLS, mais pas dans SSL.
• SSL a été développé et édité sous Netscape. Cependant, TLS est sous Internet Engineering Task Force en tant que protocole standard et est donc disponible sous RFC.
• Il existe des différences dans la mise en œuvre du protocole, telles que l’échange de clés et la dérivation de clé.