Cette chronologie présente les RFC structurantes du protocole. Elle ne cherche pas à répertorier chaque extension spécialisée.
De SSL à TLS
L’IETF reprend les idées de SSL 3.0 et crée une norme ouverte, ensuite révisée pour améliorer les primitives cryptographiques.
RFC 2246
The TLS Protocol Version 1.0
Standardise TLS 1.0 à partir de SSL 3.0, avec négociation des algorithmes, authentification par certificats et protection symétrique des enregistrements.
Consulter le texte officielRFC 4346
The TLS Protocol Version 1.1
Ajoute des vecteurs d’initialisation explicites pour les chiffrements CBC et clarifie le traitement des erreurs et attaques observées avec TLS 1.0.
Consulter le texte officielRFC 5246
The TLS Protocol Version 1.2
Permet des fonctions de hachage et suites cryptographiques plus modernes, notamment les chiffrements authentifiés, et remplace les dépendances historiques à MD5 et SHA-1.
Consulter le texte officielRFC 8446
The TLS Protocol Version 1.3
Simplifie la négociation, impose des primitives modernes, chiffre davantage du handshake, retire les suites obsolètes et réduit le nombre d’allers-retours.
Consulter le texte officiel
Extensions indispensables
TLS devient une plate-forme extensible capable d’héberger plusieurs noms et protocoles sur une même adresse.
RFC 5746
TLS Renegotiation Indication Extension
Lie cryptographiquement une renégociation à la session existante afin de corriger une faille permettant de préfixer des données choisies par un attaquant.
Consulter le texte officielRFC 6066
TLS Extension Definitions
Regroupe plusieurs extensions, dont Server Name Indication, qui permet au client d’indiquer le nom du service avant la sélection du certificat.
Consulter le texte officielRFC 7301
TLS Application-Layer Protocol Negotiation
Ajoute ALPN pour choisir dans le handshake le protocole applicatif, par exemple HTTP/2, sans aller-retour ni détection supplémentaire.
Consulter le texte officielRFC 9525
Service Identity in TLS
Actualise les règles de vérification des noms de service dans les certificats et remplace les pratiques héritées fondées sur Common Name.
Consulter le texte officiel
Retirer les versions et algorithmes faibles
Plusieurs RFC ne créent pas de fonction : elles ferment explicitement des options devenues dangereuses.
RFC 6176
Prohibiting SSL Version 2.0
Interdit la négociation de SSL 2.0 en raison de défauts fondamentaux de conception et exige que clients et serveurs ne le proposent plus.
Consulter le texte officielRFC 7465
Prohibiting RC4 Cipher Suites
Retire RC4 de toutes les versions de TLS après la mise en évidence de biais cryptographiques exploitables.
Consulter le texte officielRFC 7568
Deprecating SSL Version 3.0
Déclare SSL 3.0 insuffisamment sûr, notamment après POODLE, et demande aux implémentations de ne plus le négocier.
Consulter le texte officielRFC 8996
Deprecating TLS 1.0 and TLS 1.1
Déprécie les deux premières versions de TLS, qui ne prennent pas correctement en charge les suites et pratiques cryptographiques contemporaines.
Consulter le texte officielRFC 9325
Recommendations for Secure Use of TLS and DTLS
Met à jour les recommandations de versions, suites, extensions, certificats et reprise de session pour les déploiements sécurisés de TLS et DTLS.
Consulter le texte officiel
Lecture de l’évolution
TLS évolue en réduisant les options négociables dangereuses et en déplaçant les bonnes pratiques dans des BCP actualisables. Les nouvelles applications doivent viser TLS 1.3, conserver TLS 1.2 seulement lorsque la compatibilité l’exige et vérifier correctement l’identité du service.