Qu’est-ce que le protocole TLS (Transport Layer Security) ?

Au cours des dernières années, le chiffrement des données s’est imposé comme une mesure de sécurité essentielle pour les sites web. Cette protection exige d’appliquer un protocole comme SSL ou TLS pour permettre le déchiffrement des données par les internautes légitimes.

Comme vous le savez, Ex2 vous propose une gamme très complète d’hébergements web sécurisés par des certificats SSL gratuits. Certains sites peuvent toutefois avoir intérêt à choisir d’utiliser le protocole TLS plutôt que le SSL classique.

Dans cet article, nous aborderons donc tout d’abord ce qu’est le protocole TLS. Nous verrons ensuite pourquoi il est important pour votre entreprise et comment il a évolué au fil des années.

Qu’est-ce que le protocole TLS et pourquoi est-il important ?

TLS (Transport Layer Security) est un protocole de sécurité qui crypte la connexion entre le navigateur d’un visiteur et votre site web.

Tout ce qui est envoyé via cette connexion est chiffré lors du transit afin que personne au milieu ne puisse le lire. Cela inclut notamment les identifiants de connexion, les numéros de carte de crédit, les soumissions de formulaires de contact et les détails du compte. Il permet donc de protéger des données essentielles.

Pour un propriétaire d’entreprise, TLS fait trois choses pratiques :

• Il protège les données des clients, évitant une foule de problèmes potentiels .
• Il encourage la confiance des internautes en affichant le préfixe « https ».
• Il répond aux exigences réglementaires et de conformité qui s’appliquent à presque tous les sites web modernes.

Il faut noter que ce dernier point est plus important que beaucoup de propriétaires ne le pensent. Le RGPD, la norme PCI DSS et la loi HIPAA exigent tous des « mesures techniques appropriées » pour protéger les données personnelles.

Le chiffrement TLS est ainsi l’une des mesures de base attendues par les régulateurs. Un site web n’ayant pas un certificat SSL ou TLS valide est donc traité comme ne répondant pas aux exigences.

La perception des clients est aussi un enjeu important. Les navigateurs modernes marquent tout site sans chiffrement SSL ou TLS comme étant « Non sécurisé ».

C’est suffisant pour faire fuir la plupart des acheteurs potentiels avant même qu’ils ne voient vos offres. Vous avez donc tout intérêt à vous assure d’avoir un certificat à jour!

Comment le protocole TLS a-t-il évolué depuis SSL ?

L’histoire du cryptage web est la raison pour laquelle la plupart des gens utilisent encore le terme « SSL », même quand ils parlent en fait de « TLS ». Comprendre la différence peut toutefois vous aider à comprendre pourquoi le Transport Layer Security s’est graduellement imposé.

Un bref historique de SSL et TLS

Secure Sockets Layer (SSL) a été développé par Netscape en 1994 pour rendre possible le commerce électronique. La version SSL 1.0 n’a jamais été rendu disponible au grand public, car peu fonctionnelle. SSL 2.0 avait aussi de graves défauts et s’est avéré d’un impact limité.

C’est plutôt SSL 3.0, sorti en 1996, qui s’est imposé et est devenu la base sur laquelle tout le reste a été construit.

L’Internet Engineering Task Force a repris ce protocole en 1999 et publié TLS 1.0. Celui-ci était destiné à devenir le successeur direct de SSL 3.0.

TLS est techniquement un protocole différent plutôt différent, mais il partage les idées et l’usage de base de SSL. Cette grande similitude explique pourquoi les deux noms sont souvent utilisés de manière interchangeable.

Cette confusion de marque fait que de nombreux fournisseurs vendent encore des « certificats SSL », même si ces certificats sécurisent les connexions à l’aide du protocole TLS. C’est notamment dû au fait que les internautes eux-mêmes utilisent ce même lexique.

Principales différences entre SSL et TLS

TLS est plus sécurisé que SSL à plusieurs égards. Il utilise des algorithmes cryptographiques modernes, des fonctions de hachage plus puissantes pour vérifier l’intégrité des données.

Il offre aussi une meilleure protection contre les attaques qui tentent de forcer la connexion vers une version plus faible. SSL 3.0 en particulier est vulnérable aux attaques connues telles que POODLE.

Ce que vous devez retenir est que chaque navigateur et serveur en production utilise aujourd’hui le protocole TLS. Et ce, même lorsque le marketing indique « SSL ». Si vous achetez un certificat, vous achetez TLS, quel que soit le nom de la page produit.

Comment le protocole TLS fonctionne-t-il ?

Il n’est pas nécessaire d’être cryptographe pour comprendre le TLS. Avoir une petite idée du fonctionnement vous aide toutefois lorsque vous lisez des rapports de sécurité ou que vous parlez à votre hébergeur.

Pensez au TLS comme à une enveloppe scellée avec une signature inviolable. Avant que l’enveloppe ne soit scellée, le navigateur et le serveur effectuent un rituel de vérification rapide pour confirmer qu’ils sont bien qui ils disent être. Ce rituel s’appelle la poignée de main, et il joue un rôle clé. Nous aborderons un peu plus en détails ce processus important.

La poignée de main TLS, étape par étape

La poignée de main se produit automatiquement dès qu’un navigateur charge une page sécurisée. Voici ce qui se passe alors en coulisses :

1. Le navigateur envoie un message appelé « Client Hello ». Celui-ci répertorie alors les versions TLS et les méthodes de chiffrement qu’il prend en charge.
2. Le serveur répond par « Server Hello ». Il choisit ensuite l’option la plus puissante prise en charge mutuellement et envoie son certificat TLS pour prouver son identité.
3. Le navigateur vérifie le certificat en se référant à une liste d’autorités de confiance intégrée au système d’exploitation.
4. Les deux parties conviennent alors d’une clé de session partagée et passent à cette clé pour le reste de la conversation.

L’ensemble du processus ne prend qu’une fraction de seconde. Une fois terminé, le transfert de données réel commence et tout ce qui est envoyé dans l’une ou l’autre direction est crypté. Vos échanges sont alors protégés sans que vous ayez eu à attendre.

Pourquoi TLS utilise deux types de chiffrement

Le protocole TLS combine deux formes de cryptographie. Celles-ci sont complémentaires, car chacune d’entre elles résout un problème différent.

Le cryptage asymétrique est tout d’abord utilisé lors de la poignée de main. Le serveur a une clé publique (partagée avec n’importe qui) et une clé privée (qui est gardée secrète).

Tout le monde peut crypter des données avec la clé publique. Seul le serveur peut toutefois les décrypter. Ce procédé permet donc que les deux parties s’accordent en toute sécurité sur un secret partagé, sans jamais ébruiter ce secret.

Le chiffrement symétrique prend ensuite le relais, une fois la poignée de main effectuée. Ces algorithmes sont beaucoup plus rapides que les méthodes asymétriques. Ils sont donc mieux adaptés pour gérer le flux réel de données une fois la connexion établie.

C’est cette combinaison qui rend le protocole TLS à la fois sécurisé et suffisamment rapide pour être utilisé à chaque chargement de page.

Les suites de chiffrement robustes ajoutent une couche de protection supplémentaire. Elles vous garantissent que même si la clé privée du serveur est volée dans le futur, les sessions passées restent privées.

Où est utilisé le protocole TLS ?

L’usage de TLS ne se limite pas aux sites Web. Presque tous les services en ligne sécurisés l’utilisent en arrière-plan. On peut notamment mentionner:

• Les sites Web et les boutiques en ligne utilisent le protocole TLS via HTTPS. Il leur permet de protéger les connexions, les flux de paiement et les soumissions de formulaires.
• La messagerie électronique utilise le protocole TLS via SMTPS, IMAPS et POP3S pour maintenir la confidentialité des messages en transit. Les fournisseurs modernes rejettent tous les serveurs de messagerie qui refusent d’utiliser le protocole TLS.
• Les connexions VPN sont construites sur le protocole TLS afin de permettre de sécuriser la connexion avec un serveur distant.
• Les API et les intégrations entre plateformes nécessitent presque toujours le protocole TLS pour que la connexion soit acceptée.
• Les services vocaux et de messagerie protègent les appels et le chat avec des variantes de TLS.

Si vous exploitez une entreprise en ligne, vos clients, fournisseurs et employés passent donc constamment par des connexions protégées par le protocole TLS. Dans la plupart des cas, ils le font sans s’en rendre compte.

Que sont les certificats TLS et comment en obtenir un ?

Un certificat SSL/TLS est le document qui prouve que votre domaine est ce qu’il prétend être. Il contient votre nom de domaine, votre clé publique, la signature de l’autorité émettrice et une date d’expiration. Tout ces éléments aident à établir la confiance.

Les navigateurs font toutefois confiance au certificat parce qu’ils font confiance à l’autorité qui l’a signé. Celle-ci doit donc validé les informations dont elle assure la véracité.

Il existe donc trois types courants de certificats, différant en fonction du niveau de validation:

• Validation de domaine (DV) : confirme le contrôle du domaine uniquement. Rapide, gratuit , et adapté à la plupart des sites de petites entreprises. C’est le type de certificat qu’Ex2 vous offre gratuitement.
• Validation d’organisation (OV) : nécessite une vérification de l’entreprise qui est associée au nom de domaine. C’est donc une option raisonnable pour les entreprises qui souhaitent démontrer leur identité aux visiteurs.
• Validation étendue (EV) : Implique l’examen le plus approfondi. Modifiait jadis la couleur de la barre d’adresse pour la rendre verte. Les navigateurs modernes n’affichent toutefois plus cet indicateur de manière visible. Les certificats Ev ont donc perdu une partie de leur attrait au cours des dernières années.

Les certificats expirent régulièrement. Il se renouvellent généralement tous les 90 jours pour les certificats gratuits et au moins une fois par an pour les options payantes.

Un certificat expiré rend instantanément votre site inaccessible à la plupart des visiteurs. Le renouvellement automatique est donc devenu un outil incontournable.

Les outils construits autour du protocole ACME (comme AutoSSL) gèrent cela sans intervention manuelle. Vous n’avez donc pas à vous inquiétez que votre certificat puisse être expiré.

Qui garde à jour votre configuration TLS ?

Les suites de chiffrement deviennent obsolètes au fil du temps, et de nouvelles versions de protocoles sont publiées. Les certificats expirent et les cadres de conformité augmentent leurs exigences minimales.

La personne qui gère votre serveur est donc responsable de suivre ces changements et d’appliquer des modifications avant qu’il y ait le moindre problème.

Si vous utilisez un hébergement vert ou une solution WordPress d’Ex2, le renouvellement de votre certificat est assuré par AutoSSL. Vos sites sont donc protégés gratuitement pas des certificats OV émis par Let’s Encrypt.

Sur un serveur autogéré, cette responsabilité incombe toutefois à vous ou à votre développeur. Vous devez donc surveiller les annonces des fournisseurs de navigateurs, mettre à jour les bibliothèques OpenSSL, régénérer les certificats, tester les configurations de chiffrement et vérifier que rien ne s’est cassé en aval.

Le service d’infogérance offert par Ex2 change toutefois la donne. Notre équipe peut alors gérer vos certificats et divers éléments essentiels de la sécurité de votre serveur.

Pour conclure sur le protocole TLS

TLS est désormais la norme qui rend les échanges sécurisés possibles sur Internet. Le protocole a évolué pour devenir une solution fiable et de plus en plus incontournable.

Vous utilisez déjà ce protocole tout les jours pour de nombreux usages. Il sécurise vos e-mails, votre VPN, les API de nombreuses applications et bien plus encore. TLS est même désormais utilisé pour le commerce en ligne, afin de protéger les données échangées.

Nous espérons que cet article vous a plu et vous a éclairé sur le protocole de chiffrement TLS. Si c’est le cas, nous vous invitons maintenant à consulter nos autres autres articles et tutoriels.

N’hésitez pas non plus à consulter notre base de connaissance. Vous y trouverez une foule d’articles détaillés pouvant répondre à toutes vos questions web.