TLS vs SSL : quel protocole utiliser ?

Si vous êtes propriétaire d'un site Web, vous souhaitez probablement savoir comment rendre votre site aussi sécurisé que possible. Sécuriser votre site Web et le convertir en HTTPS devrait être une priorité. Vous avez probablement entendu parler de deux termes qui sont essentiels pour vous y rendre : TLS vs SSL. Que signifient-ils? Est-ce que l'un est meilleur que l'autre? Lequel devriez-vous utiliser pour avoir le site Web le plus sécurisé possible ?

Décomposons les différences et les similitudes entre les protocoles et examinons ce que vous devriez faire pour sécuriser votre site Web.

Que sont SSL et TLS ?

Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont tous deux des protocoles de sécurité qui aident à protéger les données et à rendre votre site Web plus sûr pour l'utilisateur final. Les deux protocoles entraînent un cryptage de bout en bout entre le site et l'appareil de l'utilisateur. Cela renforce la confiance avec les utilisateurs et les moteurs de recherche. Que vous utilisiez TLS ou SSL pour sécuriser votre site, vous protégez vos propres données et (peut-être plus important) celles de vos utilisateurs contre le piratage potentiel ou les activités malveillantes.

Les propriétaires de sites Web obtiennent à la fois des certificats TLS et SSL afin de convertir un site Web de HTTP (protocole de transfert hypertexte) à HTTPS (protocole de transfert hypertexte sécurisé). Lorsqu'un site Web est sécurisé, il affiche une icône de verrouillage sécurisé dans la barre d'adresse du navigateur de l'utilisateur. Le fait d'avoir un certificat de sécurité pour votre site Web indique aux navigateurs qu'un utilisateur peut y accéder en toute sécurité, ce qui lui donne la tranquillité d'esprit que ses informations sont en sécurité.

Chaque site Web a besoin d'un certificat TLS ou SSL. Il aide dans les classements de recherche ainsi que la protection contre les pirates et autres situations compromettantes. Mais c'est particulièrement important si vous utilisez votre site Web pour traiter des informations de paiement ou pour stocker des enregistrements sensibles. Ce n'est qu'une pièce de votre puzzle pour une sécurité complète et verrouillée du site, mais c'est une pièce essentielle.

Quelle est la différence entre TLS et SSL ?

En termes de résultats, TLS et SSL offrent la même chose : une sécurité cryptée pour votre site Web . Vous entendrez probablement les termes utilisés de manière interchangeable en référence aux certificats. Bien que techniquement, TLS et SSL ne soient pas identiques. Les deux protocoles utilisent un processus appelé poignée de main pour initier une connexion cryptée. Fondamentalement, les deux machines demandent à voir l'identité de l'autre, et lorsqu'elle vérifie, elles peuvent faire des affaires.

C'est là que s'arrêtent les similitudes techniques. Chaque protocole cryptographique fonctionne de manière différente pour atteindre le même résultat final.

En un mot, la norme actuelle de TLS 1.3 par rapport à SSL (et les anciennes normes TLS) inclut la réduction de la latence pour favoriser des temps de chargement plus rapides , ce qui est impératif de nos jours pour tous les sites, supprimant le gonflement du code hérité pour réduire le nombre de vecteurs que quelqu'un pourrait attaquer votre site et utiliser une seule poignée de main entre les points plutôt que plusieurs, ce qui réduit à nouveau les vecteurs que quelqu'un pourrait compromettre votre sécurité.

SSL, sorti pour la première fois en 1995, est le prédécesseur de TLS. Les trois itérations de SSL se sont depuis avérées insuffisantes en ce qui concerne les vulnérabilités de sécurité. En fait, la première version n'a jamais été rendue publique. Plus tard, l'Internet Engineering Task Force (IETF) a rendu obsolètes toutes les versions de SSL.

Même ainsi, le terme SSL est encore largement utilisé pour décrire les certificats de sécurité que les utilisateurs de sites Web doivent obtenir. Mais dans la plupart des cas, le protocole réel exécuté dans les coulisses est TLS. Aujourd'hui, les versions 1.2 et 1.3 de TLS sont les seules versions de l'un ou l'autre des protocoles (TLS vs SSL) qui n'ont pas encore été obsolètes par l'IETF ou les principaux navigateurs. Si vous souhaitez en savoir plus sur les subtilités techniques de TLS 1.3 et son fonctionnement, Cloudflare a un excellent article articulant les spécifications.

Votre site Web devrait-il avoir TLS ou SSL ?

Au fil des ans, SSL a été presque entièrement remplacé par TLS. Même si vous verrez toujours les "certificats SSL" mentionnés plus souvent que les certificats TLS, le protocole sous-jacent utilisé sera probablement TLS. Peu importe comment ça s'appelle.

Votre site Web doit utiliser TLS, car il s'agit désormais du protocole standard approuvé par l'IETF pour la sécurité des sites Web. Votre hébergeur peut fournir des certificats SSL avec hébergement (ou vous pouvez en obtenir un vous-même ailleurs), il fonctionnera probablement toujours via ce protocole TLS, qu'il soit appelé SSL. Si vous visez une sécurité WordPress optimale, vous devez vous assurer que vos bases sont couvertes ici.

En raison de divers problèmes de sécurité, SSL et les anciennes versions de TLS doivent être désactivées côté serveur de votre site Web. Si vous n'êtes pas à l'aise pour travailler vous-même sur le serveur, vous pouvez demander à l'hébergeur de votre site Web ou à un développeur de vous aider. Après tout, c'est pour ça que vous les payez ! S'assurer que les versions obsolètes de SSL et TLS empêchent l'activation des anciens protocoles protège davantage votre site Web contre les menaces de sécurité et les intrusions.

Qu'en est-il des deux ?

En raison des similitudes, de l'histoire et des conventions de dénomination quelque peu déroutantes, vous vous demandez peut-être si les propriétaires de sites Web ont besoin à la fois d'un certificat SSL et TLS pour sécuriser correctement leurs sites. Non! De nos jours, les certificats SSL et TLS font la même chose. Le certificat lui-même n'assure pas la sécurité de votre site Web. Au lieu de cela, il permet simplement au protocole TLS en arrière-plan de faire son travail. Ce qui va plus loin pour expliquer pourquoi les conventions de dénomination sont boueuses - pour que les choses soient plus cohérentes avec ce que les gens ont l'habitude d'entendre.

Comment utiliser TLS et SSL sur votre site WordPress

L'utilisation de TLS et SSL sur votre site WordPress est assez simple. Tout d'abord, vous devrez obtenir le certificat (le plus souvent appelé certificat SSL, comme nous l'avons mentionné). Des options payantes et gratuites sont disponibles. Cela signifie que vous pouvez obtenir un certificat de la manière qui convient le mieux à votre budget et au type de site Web que vous gérez. Vous êtes peut-être dans une industrie qui nécessite un niveau de sécurité et de contrôle plus strict que ce qu'un certificat gratuit peut offrir. Si tel est le cas, vous voudrez rechercher un certificat SSL payant.

Il existe plusieurs façons d'obtenir un certificat SSL pour votre site Web WordPress. Tout cela est assez facile.

• Obtenez un certificat SSL gratuit d'une source telle que ZeroSSL ou SSL For Free (ceux-ci devront être renouvelés manuellement tous les 90 jours et manquent d'un service client approfondi).
• Achetez un hébergement Web auprès d'une entreprise qui fournit un certificat SSL dans le cadre de votre pack d'hébergement avec des hôtes tels que SiteGround, Flywheel et Pressable.
• Améliorez la sécurité de votre site en utilisant un CDN tel que Cloudflare.
• Utilisez un plugin WordPress comme Really Simple SSL pour implémenter votre certificat SSL.

Une fois que vous avez le certificat en place, vous voudrez vous assurer que tous vos liens redirigent vers votre site HTTPS plutôt que HTTP. Google pourrait vous pénaliser pour avoir un site non sécurisé si vous ne le faites pas. Cela garantit que vous ne serez pas signalé lorsque les utilisateurs tenteront d'accéder à votre site. Il existe des plugins WordPress que vous pouvez utiliser pour y parvenir, tels que WP Force SSL & HTTPS Redirect. Vous pouvez également demander à votre hébergeur ou à un développeur de vous aider à configurer correctement votre serveur pour rediriger vers HTTPS. Certains plugins de redirection 301 et plugins SEO proposent également cette fonctionnalité directement dans leurs paramètres.

Conclusion

Lorsque vous attrapez des références à TLS vs SSL et que l'une est différente, elles ont à la fois raison et tort. Les spécifications techniques sont différentes, mais les noms sont interchangeables de nos jours. Essentiellement, ils font référence à une norme qui fournit le même résultat final. Le protocole TLS a remplacé SSL car il est plus rapide et plus sécurisé. Cependant, les noms TLS et SSL restent interchangeables en référence aux certificats de sécurité.

N'oubliez pas que la sécurité WordPress utilisant TLS est relativement simple et loin d'être aussi déroutante que les noms et .

Maintenant que vous savez quel protocole utiliser, il est temps de sécuriser votre site Web. Bonne chance!

Image en vedette de l'article par MicroOne / shutterstock.com