TLS 1.3 : pourquoi migrer et comment vérifier votre configuration SSL
TLS 1.3 est le protocole de chiffrement le plus sécurisé et le plus rapide disponible. Pourtant, des millions de sites tournent encore sur TLS 1.2 ou pire. Handshake plus rapide, PFS obligatoire : voici pourquoi et comment migrer.
Qu'est-ce que TLS et pourquoi c'est critique
TLS (Transport Layer Security) est le protocole qui chiffre les communications entre votre navigateur et un serveur web. C'est ce qui transforme "http://" en "https://". Sans TLS correctement configuré, vos données et celles de vos utilisateurs transitent en clair sur Internet.
Les différences entre TLS 1.2 et TLS 1.3
TLS 1.3, publié en 2018, apporte des améliorations fondamentales par rapport à TLS 1.2 :
Sécurité renforcée : TLS 1.3 supprime les algorithmes de chiffrement obsolètes (RC4, MD5, SHA-1, DES, 3DES) qui étaient encore supportés en TLS 1.2 et représentaient des vecteurs d'attaque connus.
Performance améliorée : Le handshake TLS 1.3 ne nécessite qu'un seul aller-retour (contre deux pour TLS 1.2), ce qui réduit la latence de connexion de 30 à 40 %. En mode "0-RTT", les connexions répétées sont encore plus rapides.
Perfect Forward Secrecy obligatoire : En TLS 1.3, le PFS est imposé. Même si la clé privée du serveur est compromise, les sessions passées restent chiffrées.
Les protocoles à désactiver absolument
TLS 1.0 et TLS 1.1 sont officiellement dépréciés depuis 2021 (RFC 8996). Ils présentent des vulnérabilités connues comme POODLE et BEAST.
SSL 2.0 et SSL 3.0 sont dangereux depuis des années. Si votre serveur les supporte encore, vous êtes exposé à des attaques critiques.
Comment vérifier votre configuration
Pour nginx, vérifiez votre fichier de configuration : ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers off;
Pour Apache : SSLProtocol -all +TLSv1.2 +TLSv1.3
L'expiration des certificats : une bombe à retardement
Outre le protocole, la durée de validité de votre certificat est critique. Un certificat expiré bloque totalement l'accès à votre site et affiche un avertissement de sécurité à vos utilisateurs.
Depuis 2020, la durée maximale des certificats TLS est de 398 jours. Google pousse vers des certificats de 90 jours, voire moins.
WebImpulsion surveille en continu le protocole TLS, les suites de chiffrement, la date d'expiration et la chaîne de certification de chaque actif. Vous êtes alerté 30 jours avant expiration.
WebImpulsion
Analysez votre site dès maintenant
Audit complet en ~30 secondes. Performance, sécurité, CVE, DNS, TLS.
Accéder à la plateforme