Qu'est-ce que TLS vs. SSL dans la sécurité en ligne ?
Avec autant de violations de données majeures dans l'actualité récemment, vous pourriez vous demander comment votre les données sont protégées lorsque vous êtes en ligne. Lorsque vous allez sur un site Web pour faire du shopping et que vous entrez votre numéro de carte de crédit, espérons-le, dans quelques jours, un colis arrivera à votre porte. Mais à ce moment-là, avant d'appuyer sur Commander, vous demandez-vous comment fonctionne la sécurité en ligne?
Les bases de la sécurité en ligne
Dans sa forme de base, la sécurité en ligne (la sécurité qui a lieu entre un ordinateur et un site Web) est assurée par une série de questions et de réponses. Vous saisissez une adresse Web dans un navigateur, puis le navigateur demande à ce site de vérifier son authenticité. Le site répond avec les informations appropriées, et après que les deux se soient mis d'accord, le site s'ouvre dans le navigateur Web.
Parmi les questions posées et les informations échangées figurent des données sur le type de
HTTP contre HTTPS
HTTP
Ouvert à tous pour voir le long du chemin.
Plus facile à configurer et à exécuter.
Aucune sécurité pour les mots de passe et les données soumises.
HTTPS
Entièrement crypté pour masquer les informations.
Nécessite une configuration de serveur supplémentaire.
Protège les informations transmises, y compris les mots de passe.
Une chose que vous remarquerez peut-être lorsque vous visitez des sites Web, c'est que certains ont une adresse qui commence par http, et certains commencent par https. HTTP signifie Protocole de transfert hypertexte; c'est un protocole ou un ensemble de directives qui désignent une communication sécurisée sur Internet.
Certains sites, en particulier les sites où il vous est demandé de fournir des informations sensibles ou d'identification personnelle, peuvent afficher https soit en vert ou en rouge avec une ligne à travers elle. HTTPS signifie Hypertext Transfer Protocol Secure, et vert signifie que le site dispose d'un certificat de sécurité vérifiable. Le rouge barré signifie que le site n'a pas de certificat de sécurité, ou que le certificat est inexact ou a expiré.
Voici où les choses deviennent un peu confuses. HTTP ne signifie pas que les données transférées entre un ordinateur et un site Web sont cryptées. Cela signifie uniquement que le site Web qui communique avec le navigateur dispose d'un certificat de sécurité actif. Ce n'est que lorsqu'un S (comme dans HTTPS) est inclus est les données qui sont transférées de manière sécurisée, et il existe une autre technologie en cours d'utilisation qui rend cette désignation sécurisée possible.
SSL contre TLS
SSL
Initialement développé en 1995.
Niveau de cryptage Web plus ancien.
À la traîne de la croissance rapide d'Internet.
TLS
A commencé comme la troisième version de SSL.
Sécurité de la couche de transport.
Poursuite de l'amélioration du cryptage utilisé dans SSL.
Ajout de correctifs de sécurité pour les nouveaux types d'attaques et de failles de sécurité.
SSL était le protocole de sécurité d'origine pour garantir la sécurité des sites Web et des données transmises entre les sites. Selon GlobalSign, SSL a été introduit en 1995 en tant que version 2.0. La première version (1.0) n'est jamais tombée dans le domaine public. La version 2.0 a été remplacée par la version 3.0 en un an pour corriger les vulnérabilités du protocole.
En 1999, une autre version de SSL, appelée Transport Layer Security (TLS), a été introduite pour améliorer la vitesse de la conversation et la sécurité de la poignée de main. TLS est la version actuellement utilisée, bien qu'elle soit souvent appelée SSL par souci de simplicité.
Comprendre le protocole SSL
Avantages
Masque les informations définies entre un ordinateur et un site Web.
Protège les informations de connexion.
Sécurise les achats en ligne.
Désavantages
Ne protège pas contre toutes les menaces.
Impossible de vous sécuriser sur les sites n'utilisant pas SSL.
Impossible de masquer les sites Web que vous visitez.
Lorsque vous envisagez de partager une poignée de main avec quelqu'un, cela signifie qu'il y a une deuxième partie impliquée. La sécurité en ligne est à peu près la même. Pour que la poignée de main qui garantit la sécurité en ligne ait lieu, une deuxième partie doit être impliquée. Si HTTPS est le protocole que le navigateur Web utilise pour garantir la sécurité, alors la seconde moitié de cette poignée de main est le protocole qui assure le cryptage.
Le cryptage est la technologie utilisée pour masquer les données transférées entre deux appareils sur un réseau. Il est accompli en transformant des caractères reconnaissables en charabia méconnaissable qui peut être ramené à son état d'origine à l'aide d'une clé de cryptage. Cela a été accompli à l'origine grâce à une technologie appelée sécurité Secure Socket Layer (SSL).
SSL était la technologie qui transformait toutes les données transférées entre un site Web et un navigateur en charabia, puis de nouveau en données. Voilà comment cela fonctionne:
- Vous ouvrez un navigateur et tapez l'adresse de votre banque.
- Le navigateur Web frappe à la porte de la banque et vous présente.
- Le portier vérifie que vous êtes bien celui que vous prétendez être et accepte de vous laisser entrer sous certaines conditions.
- Le navigateur Web accepte ces conditions, puis vous êtes autorisé à accéder au site Web de la banque.
Le processus se répète lorsque vous entrez votre nom d'utilisateur et votre mot de passe, avec quelques étapes supplémentaires.
- Vous entrez votre Nom d'utilisateur et le mot de passe pour accéder à votre compte.
- Votre navigateur Web indique au gestionnaire de compte de la banque que vous souhaitez accéder à votre compte.
- Ils conversent et conviennent que si vous pouvez fournir les informations d'identification correctes, l'accès vous sera alors accordé. Cependant, ces informations d'identification doivent être présentées dans une langue spéciale.
- Le navigateur Web et le gestionnaire de compte de la banque conviennent de la langue qui sera utilisée.
- Le navigateur Web convertit votre nom d'utilisateur et votre mot de passe dans cette langue spéciale et les transmet au gestionnaire de compte de la banque.
- Le gestionnaire de compte reçoit les données, les décode et les compare à leurs enregistrements.
- Si vos informations d'identification correspondent, vous avez accès à votre compte.
Le processus se déroule en nanosecondes, vous ne remarquez donc pas le temps qu'il faut pour que la conversation et la poignée de main aient lieu entre le navigateur Web et le site Web.
Cryptage TLS
Avantages
Cryptage plus sécurisé.
Masque les données entre un ordinateur et des sites Web.
Meilleur processus de négociation lors de la négociation d'une communication cryptée.
Désavantages
Aucun cryptage n'est parfait.
Ne sécurise pas automatiquement le DNS.
Pas entièrement compatible avec les anciennes versions.
Le cryptage TLS a été introduit pour améliorer la sécurité des données. Alors que SSL était une bonne technologie, la sécurité change à un rythme rapide, et cela a conduit au besoin d'une sécurité meilleure et plus à jour. TLS a été construit sur le cadre de SSL avec des améliorations des algorithmes qui régissent les communications et le processus de prise de contact.
Quelle version de TLS est la plus récente?
Comme avec SSL, le cryptage TLS a continué de s'améliorer. La version actuelle de TLS est 1.2, mais TLSv1.3 a été rédigé et certaines entreprises et navigateurs ont utilisé la sécurité pendant de courtes périodes. Dans la plupart des cas, ils reviennent à TLSv1.2 car la version 1.3 est toujours en cours de perfectionnement.
Une fois finalisé, TLSv1.3 apportera de nombreuses améliorations en matière de sécurité, notamment une meilleure prise en charge des types de cryptage les plus actuels. Cependant, TLSv1.3 abandonnera également la prise en charge des anciennes versions des protocoles SSL et d'autres systèmes de sécurité. technologies qui ne sont plus assez robustes pour assurer la bonne sécurité et le cryptage des données personnelles.