SSL (Secure Sockets Layer)

Définition

SSL est un protocole cryptographique déprécié qui fournissait une communication sécurisée sur un réseau. C’est le prédécesseur de TLS (Transport Layer Security). SSL est encore couramment mentionné de manière informelle (« certificat SSL ») bien que le protocole soit obsolète depuis 1996.

Les versions SSL 1.0, 2.0 et 3.0 ont toutes été dépréciées en raison de vulnérabilités critiques. TLS 1.0 (1999) a été la première version à remplacer SSL, et TLS a été continuellement amélioré depuis.

Historique de SSL

|| Version | Année | Statut | |———|——|——–| | SSL 1.0 | 1994 | Jamais publiée (défectueuse) | | SSL 2.0 | 1995 | Dépréciée (1996) — POODLE, BEAST | | SSL 3.0 | 1996 | Dépréciée (2015) — attaque POODLE | | TLS 1.0 | 1999 | Dépréciée (2021) — BEAST, CRIME | | TLS 1.1 | 2006 | Dépréciée (2021) | | TLS 1.2 | 2008 | Standard actuel, largement supporté | | TLS 1.3 | 2018 | Dernière version, plus rapide et plus sécurisée |

Pourquoi « SSL Certificate » est un abus de langage

Malgré le protocole soit TLS, le terme « certificat SSL » persiste parce que :

  • SSL était le nom original quand l’industrie a démarré
  • Les formats de certificats (X.509) sont identiques pour TLS
  • La terminologie de l’industrie est restée figée depuis les années 1990

Types de certificats SSL/TLS

|| Type | Validation | Cas d’utilisation | |——|———–|———-| | DV (Domain Validated) | Propriété du domaine | Sites web basiques, blogs | | OV (Organization Validated) | Vérification de l’organisation | Sites web d’entreprise | | EV (Extended Validation) | Vérification stricte | Banques, e-commerce | | Wildcard | Propriété du domaine | *.example.com | | Multi-domaine (SAN) | Domaines multiples | Sous-domaines multiples |

Poignée de main SSL/TLS (simplifiée)

Client → Serveur : ClientHello (versions TLS supportées, cipher suites)
Serveur → Client : ServerHello (version TLS choisie, cipher suite) + Certificat
Serveur → Client : ServerHelloDone
Client → Serveur : ClientKeyExchange (clé pré-masquée chiffrée)
Client → Serveur : ChangeCipherSpec
Client → Serveur : Messages de poignée de main chiffrés (vérifiés)
Serveur → Client : ChangeCipherSpec
Serveur → Client : Messages de poignée de main chiffrés (vérifiés)
→ La communication chiffrée débute

Fournisseurs de certificats SSL

|| Fournisseur | Type | Remarques | |———-|——|——-| | Let’s Encrypt | Gratuit, automatisé | Protocole ACME, CA gratuit le plus populaire | | DigiCert | Commercial | Entreprise de qualité, largement approuvé | | Sectigo (Comodo) | Commercial | Certificats OV/EV abordables | | GlobalSign | Commercial | CA de longue date | | AWS ACM | Gratuit (AWS uniquement) | Certificats gratuits dans AWS |

Termes associés