TLS 1.3 (Transport Layer Security version 1.3) est la derniere version majeure du protocole TLS, standardisee par l IETF comme RFC 8446 en aout 2018 apres quatre annees de conception et 28 brouillons. TLS chiffre HTTPS, SMTP STARTTLS, IMAPS, FTPS, OpenVPN, le QUIC moderne et de nombreux autres protocoles. Compare a TLS 1.2 (RFC 5246, aout 2008), TLS 1.3 est plus rapide (handshake en un round trip ou zero RTT en reprise), plus sur (suppression de RC4, 3DES, CBC, echange de cle RSA, RSA statique, forward secrecy obligatoire via DH ephemere) et plus simple (specification 40 pour cent plus courte). Supporte par tous les navigateurs et serveurs majeurs depuis 2018 a 2020. Plus de 70 pour cent des requetes HTTPS sur le web utilisent TLS 1.3 selon Cloudflare. TLS 1.0 et 1.1 sont obsoletes (IETF RFC 8996 mars 2021) et desactives dans Chrome 84 (juillet 2020), Firefox 78 (juin 2020), Safari 14 (septembre 2020), Edge 84 (juillet 2020). PCI DSS interdit TLS < 1.2 depuis 2018, PCI DSS v4.0 (obligatoire depuis le 31 mars 2025) recommande TLS 1.3.
Changements vs TLS 1.2
| Aspect | TLS 1.2 | TLS 1.3 |
|---|---|---|
| Round trips | 2 | 1 ou 0 |
| Chiffres | Centaines, souvent faibles | 5 AEAD forts |
| Forward secrecy | Optionnelle | Obligatoire |
| Renegociation | Autorisee | Supprimee |
| Compression | Autorisee | Supprimee |
| Handshake chiffre | En clair | A partir de ServerHello |
Handshake TLS 1.3
- Client Hello avec chiffres, key share (X25519), SNI.
- Server Hello et certificat chiffre, Finished.
- Client Finished.
- Application Data dans le meme round trip.
0-RTT uniquement pour requetes idempotentes.
Performance
- Un round trip economise par nouvelle connexion HTTPS.
- AES-GCM et ChaCha20-Poly1305 rapides.
- X25519 ECDH 5 a 10 fois plus rapide que RSA.
- Avec HTTP/2 ou HTTP/3 gain cumule.
Securite
- Pas de chiffres faibles.
- Forward secrecy obligatoire.
- Certificat chiffre.
- Pas de renegociation.
- Pas de compression.
- Protection contre downgrade.
nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;
ssl_stapling on;Apache
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
SSLHonorCipherOrder off
SSLUseStapling onCloudflare
TLS 1.3 active par defaut depuis 2018.
Hebergeurs WordPress
| Hebergeur | Etat |
|---|---|
| Cloudflare, Kinsta, WP Engine, SiteGround, Cloudways, Hetzner | Par defaut |
| Mutualises anciens | Souvent 1.2 seul, mettre Cloudflare devant |
Tests
- Qualys SSL Labs.
- Mozilla Observatory.
- testssl.sh.
openssl s_client -connect example.fr:443 -tls1_3.curl --tlsv1.3 -v https://example.fr/.- Chrome DevTools.
Pieges
- Replay 0-RTT sur endpoints non idempotents.
- Middleboxes cassant le nouveau handshake.
- SNI en clair (mitige par ECH RFC 9460).
- Anciens clients (XP, IE 8-10, Android < 5).
- Chaine de certificats incomplete.
TLS 1.4 ?
Pas prevu. Les futures ameliorations sont des extensions a 1.3 (ECH, hybride post quantique). Chrome 124 (avril 2024) et Cloudflare (mars 2024) deployent X25519MLKEM768.
Comment InspectWP aide ?
InspectWP analyse TLS, certificat, chiffres et HSTS. Sites en TLS 1.0/1.1 marques critiques.