Négociation TLS 1.2 vs négociation TLS 1.3
Les protocoles de communication sécurisés font la différence entre les personnes qui naviguent sur l'internet en toute confiance et celles qui sont à la merci des attaquants. Les entreprises, les gouvernements et les autres organisations auxquelles les gens confient leurs données ont une lourde responsabilité en tant que protecteurs des informations sensibles.
Table des Matières
Transport Layer Security (TLS) est un protocole de sécurité utilisé lorsque deux parties numériques, souvent un navigateur et un serveur, s'engagent dans une négociation (handshake). Au cours du processus d'échange, le navigateur dit, en fait, « Voici ce que je vais utiliser pour m'assurer que les informations envoyées par mon utilisateur sont sécurisées ». En réponse, le serveur dit : « D'accord, sur la base des options que vous présentez, voici ce que je pense être la meilleure façon pour nous d'interagir en toute sécurité ».
Les outils que le navigateur (ou client) et le serveur peuvent utiliser comprennent l'authentification, les protocoles cryptographiques et les clés de session. Le protocole TLS détermine lesquels de ces outils peuvent être utilisés par les parties au cours de leur interaction.
Lorsque deux parties sur l'internet, telles que votre navigateur web et le serveur d'un site web, interagissent, elles échangent des négociations TLS. Cet article explique :
- Ce que sont les négociations TLS 1.2 et 1.3
- En quoi elles sont différentes et similaires
- La fin de vie imminente de TLS 1.2 et comment s'y préparer
Comprendre la négociation TLS 1.2
En 1995, Netscape a introduit la technologie Secure Sockets Layer (SSL), un protocole de sécurité destiné à favoriser la sécurité des transactions en ligne. Par la suite, SSL a été remplacé par le protocole TLS, qui intègre des algorithmes cryptographiques et des fonctions de sécurité plus efficaces.
Le protocole TLS 1.2 a été proposé au public pour la première fois en 2008. L'objectif était d'améliorer les versions précédentes de TLS, développées par l'IETF (Internet Engineering Task Force) pour remplacer SSL.
TLS 1.2 est né de la nécessité de renforcer la sécurité et offre les fonctionnalités suivantes
Des suites de chiffrement plus efficaces : Une suite de chiffrement est un ensemble d'algorithmes utilisés en combinaison les uns avec les autres. Les algorithmes de TLS 1.2 étaient plus difficiles à décrypter que ceux de TLS 1.0 et 1.1.
Hachage SHA-256 et SHA-384 : Il s'agit d'algorithmes de hachage sécurisés utilisés lorsque le serveur et le navigateur vérifient leur identité. Ils sont plus difficiles à casser que SHA-1, utilisé par TLS 1.0 et 1.1.
Meilleure négociation de la version du protocole : Avec TLS 1.2, le client et le serveur ne peuvent plus utiliser les protocoles antérieurs, moins sûrs. En les obligeant à ne communiquer qu'à l'aide des outils les plus sûrs disponibles, TLS 1.2 a empêché les attaques par rétrogradation, qui tirent parti de protocoles de sécurité antérieurs plus faciles à violer.
Ces caractéristiques se combinent pour fournir une fonctionnalité de sécurité améliorée par rapport à TLS 1.0 et 1.1. Chaque élément de la négociation aboutit à une communication, une authentification et une vérification plus sûres :
Le serveur et le client authentifient leurs identités respectives
Le client et le serveur se mettent d'accord sur les protocoles cryptographiques à utiliser.
L'établissement d'une clé de session partagée.
Comprendre la négociation TLS 1.3
TLS 1.3 est la version actuelle de TLS. Elle propose une négociation encore plus sûre que TLS 1.2, ce qui rend plus difficile l'exécution d'attaques de type « man-in-the-middle ». Ces types d'attaques impliquent qu'un pirate vole des informations en se plaçant entre un navigateur et un serveur web.
D'autres caractéristiques de TLS 1.3 le rendent plus convivial pour les visiteurs et les propriétaires de sites web, notamment:
La négociation TLS nécessite moins d'allers-retours : Il s'agit de messages envoyés dans les deux sens entre le client et le serveur. Par conséquent, vous obtenez une connexion sécurisée plus rapidement.
Des suites de chiffrement encore plus puissantes : Des pirates informatiques ont utilisé des ordinateurs puissants pour décrypter certains des algorithmes qui garantissaient la sécurité des négociations TLS 1.2. TLS 1.3 s'est débarrassé de ces algorithmes compromis et les a remplacés par des algorithmes plus sûrs.
Perfect Forward Secrecy (PFS) : La PFS garantit que chaque clé de session est totalement indépendante des clés privées à long terme, qui sont des clés qu'un utilisateur ou un système utilise pendant une période prolongée pour déchiffrer des données cryptées. Cela signifie que même si quelqu'un craque une clé privée à long terme, il ne peut pas l'utiliser pour découvrir la clé de session.
Reprise avec un temps d'aller-retour nul (0-RTT) : Cela permet aux clients d'envoyer des données dès le premier aller-retour, réduisant ainsi le temps nécessaire à l'établissement d'une connexion sécurisée.
Confidentialité supérieure : Les vulnérabilités de TLS 1.2 permettaient aux pirates de voler des informations sur les utilisateurs. TLS 1.3 a corrigé et éliminé ces vulnérabilités.
Principales différences entre TLS 1.2 et TLS 1.3
Lorsqu'elles sont juxtaposées, les différences entre TLS 1.2 et 1.3 sont évidentes, et c'est une bonne nouvelle pour les entreprises et les utilisateurs individuels de l'internet :
0-RTT : Avec TLS 1.3, la reprise à zéro du temps d'aller-retour se traduit par une négociation plus rapide et plus sûre entre les clients et les serveurs. Cela signifie que, que vous fassiez un achat, que vous passiez une commande ou que vous envoyiez des messages WhatsApp rapides, vous aurez moins de temps de latence à gérer.
Vitesse de la négociation : Avec TLS 1.3, la vitesse de négociation est plus rapide, ce qui signifie que les applications en temps réel et les appareils de l'Internet des objets (IoT) peuvent interagir avec les serveurs avec moins de latence. Il en résulte une expérience utilisateur plus fluide sans compromettre la sécurité.
Suites de chiffrement sécurisées : Les algorithmes de chiffrement compromis et non sécurisés posaient problème avec TLS 1.2. En les éliminant, la version 1.3 rend l'internet plus sûr.
Amélioration de l'efficacité des performances : TLS 1.3 améliore l'efficacité du processus de négociation en nécessitant moins d'allers-retours que la version 1.2. Il utilise également des algorithmes cryptographiques plus rapides. Par conséquent, la négociation prend moins de temps et de puissance de calcul.
Amélioration de la sécurité : TLS 1.3 offre une meilleure sécurité que TLS 1.2. Il s'attaque aux vulnérabilités connues du processus de négociation, telles que les algorithmes que les pirates ont trouvé le moyen de craquer. Par exemple, TLS 1.2 était vulnérable aux attaques par oracle de remplissage qui tirent parti du cryptage SSL 3.0 pour exposer des données sensibles.
Autres différences : TLS 1.3 a supprimé la compression des données, que certains pirates exploitaient pour voler des informations. En outre, lorsqu'un client et un serveur ont établi une connexion sécurisée, avec TLS 1.3, ils peuvent se reconnecter sans aucun aller-retour. Cela rend également la négociation plus rapide.
Similitudes entre TLS 1.2 et TLS 1.3
Même si les deux protocoles sont différents, ils poursuivent le même objectif : permettre des connexions sécurisées en ligne. Ils sont également tous deux utilisés pour sécuriser les transactions en ligne, ce qui rend plus sûre la transmission d'informations de paiement par l'intermédiaire d'internet, par exemple.
L'une des plus grandes similitudes entre TLS 1.2 et 1.3 est qu'ils utilisent tous deux un système de négociation pour établir une connexion sécurisée. Les algorithmes de chiffrement à base de clés sont des éléments essentiels de la négociation de chaque protocole.
On peut comparer TLS 1.2 à un ancien système d'exploitation Windows Vista et TLS 1.3 à Windows 11. Bien qu'ils aient le même objectif de base, la version la plus récente est plus rapide et plus sûre.
Fin de vie de TLS 1.2
Il est difficile de fixer le calendrier de fin de vie de TLS 1.2. Au fil du temps, à mesure que les pirates informatiques percent les systèmes, ceux-ci deviennent de moins en moins sûrs, ce qui entraîne leur fin de vie. TLS 1.0 et 1.1 ont atteint leur fin de vie en janvier 2020. Publié en avril 2006, TLS 1.1 a eu une durée de vie d'un peu moins de 14 ans. Il est donc raisonnable de s'attendre à ce que TLS 1.2 devienne obsolète ou cesse d'exister très bientôt, puisqu'il existe déjà depuis 15 ans.
Les systèmes existants qui dépendent encore de TLS 1.2 pourraient bientôt ne plus être en mesure de s'interfacer avec les actifs basés sur l'internet comme ils le souhaiteraient. Cela pourrait poser des problèmes importants, tels que la nécessité de mettre à niveau les serveurs et de transférer les données et les configurations vers votre nouveau système.
Voici quelques bonnes pratiques pour passer de TLS 1.2 à TLS 1.3 :
Vérifiez la compatibilité de vos serveurs et clients avec TLS 1.3.
Mettez à jour le micrologiciel de vos systèmes. Nombre d'entre eux peuvent prendre en charge TLS 1.3, ce qui augmente le nombre d'appareils compatibles.
Testez toujours dans un environnement d'essai sûr avant de passer à la mise en service.
Actualisez vos politiques de sécurité pour refléter la mise à niveau vers TLS 1.3. Cela permet aux utilisateurs du système de savoir que vous avez effectué le changement et de procéder aux ajustements de configuration éventuellement nécessaires de leur côté.
N'oubliez pas de surveiller et de documenter toute amélioration des performances. En les faisant connaître aux clients et aux autres parties prenantes, vous renforcez la confiance dans votre mise à niveau, ainsi que dans votre organisation.
Pourquoi cela est important pour la sécurité de votre réseau
TLS 1.2 et TLS 1.3 sont différents en ce sens que TLS 1.3 est plus rapide, plus efficace et plus sûr. La dernière version de TLS, 1.3, vous permet de créer une expérience plus sûre pour les utilisateurs et de réduire les vulnérabilités qui pourraient entraîner un surcroît de travail pour votre équipe informatique.
Les certificats TLS de Sectigo sont dotés des dernières fonctionnalités de sécurité, ce qui favorise des connexions plus sûres et plus rapides à vos ressources numériques. Avec Sectigo Certificate Manage, vous pouvez découvrir, émettre et renouveler tous vos certificats numériques à partir d'une seule plateforme. Pour en savoir plus sur la façon dont Sectigo soutient une posture de sécurité plus robuste, planifiez une démo dès aujourd'hui.