HTTPS est-il la même chose que SSL ? Et quelle est la différence entre SSL et TLS ?
Réponse courte
HTTPS n'est pas un protocole à part entière : c'est du HTTP ordinaire circulant dans un tunnel TLS chiffré. SSL est l'ancien nom : SSL 2.0/3.0 sont les prédécesseurs obsolètes et non sécurisés de TLS, qui les a remplacés (TLS 1.0 à 1.3). Quand les gens disent « certificat SSL » ou « SSL », ils désignent presque toujours en réalité TLS.
Cette question superpose deux pièges : confondre HTTPS avec SSL, et inverser la lignée SSL/TLS. Une terminologie négligente ici signale des connaissances superficielles, même si le candidat « connaît » le chiffrement.
HTTPS n'est pas une entité à part
HTTPS, c'est simplement HTTP posé sur TLS. Le protocole applicatif (HTTP) est inchangé ; il circule juste dans un tunnel chiffré et authentifié que TLS établit d'abord. TLS fournit la confidentialité, l'intégrité et l'authentification du serveur ; HTTP s'écoule ensuite à travers lui. Donc « HTTPS est-il la même chose que SSL ? » est une erreur de catégorie : l'un est un protocole applicatif sur un transport sécurisé, l'autre est (un ancien nom pour) ce transport sécurisé.
SSL contre TLS : qui est arrivé en premier
SSL (Secure Sockets Layer) est arrivé en premier : SSL 2.0 et 3.0. Les deux sont aujourd'hui obsolètes et cassés (POODLE a tué SSL 3.0). TLS (Transport Layer Security) est la norme successeur : TLS 1.0, 1.1 (toutes deux obsolètes), 1.2 et 1.3 (actuelle). Le distracteur qui dit « SSL est actuel, TLS est l'ancien » est exactement l'inversion que les recruteurs guettent.
Pourquoi le nom persiste
Habitude et marketing. « Certificat SSL » est resté même si tout certificat moderne s'utilise avec TLS. Le protocole sur le câble aujourd'hui est TLS ; « SSL » est un raccourci familier.
Ce que recherchent les recruteurs
Un clair « HTTPS = HTTP sur TLS », la bonne chronologie (SSL puis TLS), et la conscience que « SSL » en usage courant désigne TLS. Avoir le bon ordre est le vrai révélateur.
Questions de suivi probables
- Quelles versions de SSL/TLS sont considérées comme non sécurisées aujourd'hui et pourquoi ?
- Si HTTPS, c'est « HTTP sur TLS », qu'ajoute réellement TLS à HTTP ?
- Pourquoi dit-on encore « certificat SSL » alors qu'on désigne TLS ?