TLS Transport Layer Security — le chiffrement sous HTTPS
Le protocole qui authentifie les serveurs et chiffre le câble sous la plupart de l'internet moderne.
Le protocole cryptographique qui authentifie les serveurs et chiffre le canal entre le client et le serveur sous HTTPS, SMTP, IMAP, MQTT et la plupart des protocoles applicatifs modernes. Le successeur de SSL — TLS 1.0 a remplacé SSL 3.0 en 1999 ; la version actuelle est TLS 1.3 (RFC 8446, 2018). L'authentification repose sur une chaîne de certificats X.509 ancrée dans une autorité de certification de confiance publique.
TLS est le défaut sur tout ce que nous publions.
Chaque surface exploitée par NordBastion — le site marketing, le panneau client, l'API JSON, les endpoints agents, la page de statut, le registre .well-known — répond sur TLS 1.2 ou TLS 1.3 avec une suite de ciphers moderne, avec HSTS préchargé et HTTP-sur-port-80 redirigé inconditionnellement vers HTTPS. Il n'y a aucun chemin en clair vers aucun de nos services, et il n'y en a pas eu depuis le lancement.
Pour les charges client, TLS vit dans vos mains : le VPS vous donne une machine Linux, et vous apportez la machinerie de certificats qui convient à l'application — Let's Encrypt pour presque tout, un certificat EV payant si votre auditeur de conformité l'exige, une CA privée pour les services internes. Les liaisons 1 Gbps et le support AES-NI / VAES moderne sur les CPU sous-jacents signifient que le coût de terminaison TLS est essentiellement du bruit même à débit de ligne soutenu.
Deux points adjacents qui méritent d'être signalés. D'abord, TLS n'est pas du chiffrement de bout en bout : un lien TLS entre un client de chat et un serveur de chat protège le câble, mais l'opérateur du serveur peut toujours lire le message. L'entrée de glossaire E2EE trace cette ligne précisément. Ensuite, TLS authentifie les serveurs par certificat ; il n'authentifie pas l'humain qui a monté le serveur. PGP remplit ce second rôle pour une identité de qualité empreinte.
Les pages qui s'appuient sur ce terme.
Les questions que les gens posent réellement.
Quelle est la différence entre SSL et TLS ?
TLS est le nom moderne de ce qui a commencé sa vie sous le nom de SSL. Les protocoles SSL 2.0 et SSL 3.0 de l'ère Netscape ont été renommés et retravaillés en TLS 1.0 en 1999, puis TLS 1.1, 1.2 et 1.3. Les termes « certificat SSL », « SSL/TLS » et ainsi de suite persistent dans la copie marketing, mais chaque déploiement moderne sain fait tourner TLS 1.2 ou TLS 1.3 sous le capot. SSL 2.0 et SSL 3.0 sont formellement dépréciés et ne devraient être activés nulle part.
Comment obtenir un certificat TLS pour un domaine sur mon VPS ?
La réponse facile est Let's Encrypt : une autorité de certification gratuite et automatisée qui émet des certificats validés par domaine de 90 jours sur le protocole ACME. Le client Certbot (ou n'importe quel caddy, traefik, nginx-acme, acme.sh) gère l'émission, le renouvellement et le câblage avec le webserver en une commande. Nous ne faisons pas tourner de CA estampillée NordBastion — Let's Encrypt est la bonne réponse et nous y pointons sans modification.
TLS est-il la même chose que le chiffrement de bout en bout ?
Non. TLS protège le lien entre le client et le serveur. Si le serveur est un backend de chat ou un fournisseur d'e-mail, l'opérateur de ce serveur peut toujours lire le message — le chiffrement TLS se termine à leur passerelle. Le chiffrement de bout en bout est une propriété séparée où seuls les endpoints qui communiquent détiennent les clés ; les serveurs intermédiaires ne voient que du ciphertext. L'entrée de glossaire dédiée au chiffrement de bout en bout couvre la distinction en profondeur.
L'API NordBastion exige-t-elle TLS ?
Oui — chaque endpoint sur api.nordbastion.com exige TLS 1.2 ou TLS 1.3 avec des ciphers modernes ; les requêtes HTTP sur le port 80 redirigent vers HTTPS sans exception. Idem pour le site marketing, le panneau client, la page de statut et les surfaces .well-known.