2017-10-21

L’importance de TLS sur Internet

Qu’est-ce que c’est, TLS?

TLS, qui tient pour Transport Layer Security, est un protocole de chiffrage pour protéger des communications dans un réseau. TLS permet de chiffrer, protéger les connexions entre un serveur et l’utilisateur. Il permet de protéger l’utilisateur d’attaques « man-in-the-middle » (des gens qui interceptent les communications serveur-utilisateur), garantit l’authenticité du serveur (et parfois même du client), ainsi que vérifie l’intégrité des requêtes, des fichiers… C’est, dans le monde d’aujourd’hui, un bien nécessaire et non plus un luxe, car les pirates ne sont aujourd’hui jamais loin.

Aujourd’hui, SSL, son prédécesseur n’existe plus, jugée trop insécuritaire, notamment avec le bug POODLE – des attaques man-in-the-middle – qui existait dans la version 1.3. De plus, le nom « SSL » venait de Netscape, qui avait développé SSL 1.0 au tout début. Donc, ceci a marqué le début de TLS. Cependant, bien des gens utilisent le nom « SSL » par habitude depuis 1994.

Comment ça fonctionne?

Concrètement, TLS s’applique en un protocole qui se nomme HTTPS (HyperText Transfer Protocol): ce dernier est un protocole de transmission de données basées sur de l’hypertexte, tout comme sa version originale que tous connaissent, HTTP. En fait, la couche TLS est une petite addition aux données HTTP transmises sur le web. Tout ce qu’il faut, c’est l’installation d’un certificat issu par des autorités de certification sur un serveur pour protéger la connexion. La personne commandant un certificat recevra alors en plus du certificat deux clés: une clé privée servant au déchiffrage, une clé publique pour le chiffrage.

Un certificat ne sert pas qu’à chiffrer: il sert à garantir que c’est bien une entité (corporation, individu) qui possède le site web – il existe trois niveaux de validation:

Ensemble, ceci ne protège que les transmissions.

Pourquoi installer TLS?

Ceci comporte plusieurs avantages:

Cependant, les inconvénients sont:

En tout cas, installer TLS est la meilleure chose à faire pour un site web, car elle prévient un grand nombre de domaines. Pour ceux qui n’ont pas de site web, vous comprenez que TLS est crucial, si vous voulez éviter des problèmes.

Edit: Notre site lui aussi possède HTTPS avec TLS, car nous croyons que le chiffrage des données est très important, pour un Internet meilleur et plus sécuritaire! C’est vraiment facile d’installer SSL/TLS sur son serveur donc nous l’avons fait. Vous avez probablement remarqué que tout notre site est protégé en HTTPS avec le petit cadenas vert dans la barre d’adresse (non ce n’est pas un favicon frauduleux, les favicons s’affichent dans le Tab).

Edit 2: Il y a d’autres nouveaux CA comme Encryption Everywhere de Symantec (qui justement a été racheté par DigiCert, d’où le fait que désormais les certificats Symantec Corporation sont devenus des certificats Digicert, Inc. Cependant, ce sont des certificats DV mais Digicert à la base ne veut pas en émettre). Il est gratuit, comme Cloudflare et Let’s Encrypt, mais il est nécessaire d’être avec un hébergeur ou un registrar autorisé.