Le nouveau guide de recommandations de sécurité relatives à TLS

La mise en place d’une session TLS entre un client et un serveur permet d’assurer l’intégrité et la confidentialité des communications, indépendamment de la nature des applications sous-jacentes. Parmi les utilisations les plus courantes du protocole figure l’incontournable « HTTPS », qui consiste en la protection des flux « http ».

Le déploiement TLS, qui apporte plus d’assurance en matière de sécurité, repose sur l’utilisation de logiciels mis à jour, mais aussi sur l’ajustement des paramètres du protocole en fonction du contexte. Les explications apportées par le nouveau guide de recommandations de sécurité relatives à TLS sont complétées par plusieurs recommandations permettant d’atteindre un niveau de sécurité conforme à l’état de l’art, notamment au sujet des suites cryptographiques à retenir.

Ce nouveau guide vient compléter le rapport de l’observatoire de la résilience de l’Internet français , dont l’édition 2015 fournissait pour la première fois des éléments d’étude sur ce protocole essentiel aux services web.

De SSL à TLS

Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et aux messageries électroniques. Il s’agit par ailleurs d’une solution privilégiée pour la protection de flux d’infrastructure internes. Pour ces raisons, le protocole et ses implémentations font l’objet d’un travail de recherche conséquent. Au fil des années, plusieurs vulnérabilités ont été découvertes, motivant le développement de corrections et de contre-mesures pour prévenir la compromission des échanges.

 
En savoir plus :

Guide TLS - v1.1

En complément :
SSL/TLS, 3 ans plus tard