Introduction

Le protocole SSL tirent son nom de l'anglicisme Secure Socket Layer, est une couche de sockets sécurisée. Le SSL a connu 5 révisions au cours de ses quinze années d'existence et a subi un changement de nom (TLS) et un changement de propriétaire au cours de cette période.

En 1995, la plupart des gens n'avaient jamais entendu parler d'un navigateur Web. L'Internet lui-même était une réalité depuis un certain temps, mais il était clair pour une poignée de visionnaires que le World Wide Web était ce qui apporterait l'informatique en réseau aux masses. Marc Andreessen avait écrit Mosaic, le premier navigateur Web graphique, alors qu'il était à l'Université de l'Illinois. À l'époque, Mosaic était incroyablement populaire, alors Andreessen a lancé une société nommée Netscape allant créer la plate-forme informatique du futur - le navigateur Netscape (et son serveur compagnon).

Le World Wide Web allait devenir la plate-forme centrale de l'industrie naissante du «commerce électronique». Il y avait cependant un problème : ses utilisateurs ne lui faisaient pas confiance avec leurs données sensibles. En 1995, Kipp Hickman, alors employé de Netscape Communications, a rédigé la première révision publique de SSLv2, étant à l'époque considérée comme une extension de HTTP permettant à l'utilisateur d'établir un lien sécurisé sur un canal non sécurisé.

Bien que SSLv2 ait généralement bien fait les choses, il a négligé quelques détails importants l'ayant rendu, bien qu'il ne soit pas inutile, pas aussi sécurisé qu'il aurait dû l'être.

Les failles de sécurités dans SSLv2 ont été identifiées après avoir été soumises à un examen par les pairs, et Netscape l'a retiré, faisant suite à SSLv3 en 1996. Cependant, à cette époque, malgré le fait qu'il n'ait jamais été normalisé ou ratifié par l'IETF, le SSLv2 avait a trouvé sa place dans plusieurs implémentations commerciales de navigateurs et de serveurs. Bien que son utilisation soit obsolète depuis une décennie, vous pouvez toujours le rencontrer de temps en temps. Cependant, il est considéré comme trop dangereux dans la mesure où l'industrie des cartes de paiement, réglementant l'utilisation des cartes de crédit sur Internet, n'autorise plus les sites Web prenant en charge SSLv2 à même accepter les cartes de crédit.

L'IETF était beaucoup plus satisfait de la proposition SSLv3 ; cependant, il a apporté quelques modifications superficielles avant de l'accepter formellement. Le changement superficiel le plus important a été que, pour une raison quelconque, ils ont décidé de changer le nom du nom familier répandu et reconnaissable "SSL" en "TLS" quelque peu gênant. SSLv3.1 est devenu TLS v1.0. À ce jour, les numéros de version transmis et publiés dans une connexion TLS sont en fait des versions SSL, et non des versions TLS. Le TLS 1.0 a été formellement spécifié par la RFC 2246 en 1999.

Bien que SSLv3 n'ait jamais été officiellement ratifié par l'IETF, SSLv3 et TLS 1.0 sont tous deux répandus. La plupart des implémentations commerciales de SSL/TLS prennent en charge à la fois SSLv3 et TLS 1.0 ; TLS inclut également un mécanisme pour négocier la version la plus élevée prise en charge. Le SSLv3 et TLS 1.0, bien que similaires à l'exception de quelques différences cosmétiques, ne sont pas interopérables - un client ne prenant en charge que SSLv3 ne peut pas établir de connexion sécurisée avec un serveur ne prenant en charge que TLS 1.0. Cependant, un client prenant en charge les deux peut demander TLS 1.0 et être gracieusement rétrogradé vers SSLv3.

Liste des versions