Skip to content

HTTPS est-il la même chose que SSL ? Et quelle est la différence entre SSL et TLS ?

Réponse courte

HTTPS n'est pas un protocole à part entière : c'est du HTTP ordinaire circulant dans un tunnel TLS chiffré. SSL est l'ancien nom : SSL 2.0/3.0 sont les prédécesseurs obsolètes et non sécurisés de TLS, qui les a remplacés (TLS 1.0 à 1.3). Quand les gens disent « certificat SSL » ou « SSL », ils désignent presque toujours en réalité TLS.

Cette question superpose deux pièges : confondre HTTPS avec SSL, et inverser la lignée SSL/TLS. Une terminologie négligente ici signale des connaissances superficielles, même si le candidat « connaît » le chiffrement.

HTTPS n'est pas une entité à part

HTTPS, c'est simplement HTTP posé sur TLS. Le protocole applicatif (HTTP) est inchangé ; il circule juste dans un tunnel chiffré et authentifié que TLS établit d'abord. TLS fournit la confidentialité, l'intégrité et l'authentification du serveur ; HTTP s'écoule ensuite à travers lui. Donc « HTTPS est-il la même chose que SSL ? » est une erreur de catégorie : l'un est un protocole applicatif sur un transport sécurisé, l'autre est (un ancien nom pour) ce transport sécurisé.

SSL contre TLS : qui est arrivé en premier

SSL (Secure Sockets Layer) est arrivé en premier : SSL 2.0 et 3.0. Les deux sont aujourd'hui obsolètes et cassés (POODLE a tué SSL 3.0). TLS (Transport Layer Security) est la norme successeur : TLS 1.0, 1.1 (toutes deux obsolètes), 1.2 et 1.3 (actuelle). Le distracteur qui dit « SSL est actuel, TLS est l'ancien » est exactement l'inversion que les recruteurs guettent.

Pourquoi le nom persiste

Habitude et marketing. « Certificat SSL » est resté même si tout certificat moderne s'utilise avec TLS. Le protocole sur le câble aujourd'hui est TLS ; « SSL » est un raccourci familier.

Ce que recherchent les recruteurs

Un clair « HTTPS = HTTP sur TLS », la bonne chronologie (SSL puis TLS), et la conscience que « SSL » en usage courant désigne TLS. Avoir le bon ordre est le vrai révélateur.

Questions de suivi probables

  • Quelles versions de SSL/TLS sont considérées comme non sécurisées aujourd'hui et pourquoi ?
  • Si HTTPS, c'est « HTTP sur TLS », qu'ajoute réellement TLS à HTTP ?
  • Pourquoi dit-on encore « certificat SSL » alors qu'on désigne TLS ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.