Le nouveau guide de recommandations de sécurité relatives à TLS


Le protocole Transport Layer Security (TLS) est une des solutions les plus répandues pour la protection des flux réseau. Le nouveau guide TLS de l’ANSSI s’adresse à tous les publics qui souhaitent se familiariser ou interagir avec ce protocole : responsables de la sécurité des systèmes d’information, administrateurs ou encore développeurs de solutions souhaitant sécuriser des échanges d’information par l’intermédiaire de TLS.

La mise en place d’une session TLS entre un client et un serveur permet d’assurer l’intégrité et la confidentialité des communications, indépendamment de la nature des applications sous-jacentes. Parmi les utilisations les plus courantes du protocole figure l’incontournable « HTTPS », qui consiste en la protection des flux « http ».

Le déploiement TLS, qui apporte plus d’assurance en matière de sécurité, repose sur l’utilisation de logiciels mis à jour, mais aussi sur l’ajustement des paramètres du protocole en fonction du contexte. Les explications apportées par le nouveau guide de recommandations de sécurité relatives à TLS sont complétées par plusieurs recommandations permettant d’atteindre un niveau de sécurité conforme à l’état de l’art, notamment au sujet des suites cryptographiques à retenir.

Ce nouveau guide vient compléter le rapport de l’observatoire de la résilience de l’Internet français , dont l’édition 2015 fournissait pour la première fois des éléments d’étude sur ce protocole essentiel aux services web.

 

De SSL à TLS

Depuis l’apparition de son prédécesseur SSL en 1995, TLS a été adopté par de nombreux acteurs de l’Internet pour sécuriser le trafic lié aux sites web et aux messageries électroniques. Il s’agit par ailleurs d’une solution privilégiée pour la protection de flux d’infrastructure internes. Pour ces raisons, le protocole et ses implémentations font l’objet d’un travail de recherche conséquent. Au fil des années, plusieurs vulnérabilités ont été découvertes, motivant le développement de corrections et de contre-mesures pour prévenir la compromission des échanges.

 
En savoir plus :

Guide TLS – v1.1

En complément :
SSL/TLS, 3 ans plus tard