TLS vs. SSL: Care este diferența și cum funcționează

Transport Layer Security (TLS) este cea mai recentă versiune a protocolului Secure Socket Layer (SSL). Ambele protocoale asigură confidențialitatea datelor și autenticitatea pe internet. Aceste protocoale utilizate pe scară largă oferă securitate de la capăt la capăt prin aplicarea criptării pentru comunicațiile bazate pe web. Cu toate acestea, în ciuda asemănărilor dintre TLS și SSL, acestea au și diferențe semnificative.

Acest articol explică cum funcționează protocoalele de criptare TLS și SSL, importanța lor, cum diferă și de ce este momentul potrivit pentru a trece la protocolul TLS.

Contextul istoric al TLS și SSL

Internet Engineering Task Force (IETF), organizația responsabilă cu dezvoltarea standardelor de internet, a publicat Solicitare de comentarii (RFC-1984), recunoscând importanța protecției datelor cu caracter personal în internetul în creștere. Netscape Communication Corporation a introdus SSL pentru a securiza comunicațiile web, care au suferit mai multe upgrade-uri.

Versiunea SSL 1.0 nu a fost lansată niciodată din cauza unor defecte de securitate, iar SSL 2.0 a fost prima lansare publică de către Netscape în 1995. Cu toate acestea, din cauza vulnerabilităților și dezavantajelor de securitate, a fost înlocuit cu o altă versiune SSL 3.0 în noiembrie 1996. De asemenea, cea mai recentă versiune SSL nu este utilizată din cauza nesiguranței sale împotriva

Atacul POODLE din octombrie 2014 și a fost oficial depreciat în iunie 2015.

TLS a fost lansat în 1999 ca un protocol independent de aplicație: o actualizare la SSL versiunea 3.0 realizată de Internet Engineering Task Force (IETF). Ideea a fost implementarea TLS peste TCP pentru a cripta aplicațiile folosind protocoale FTP, IMAP, SMTP și HTTP. De exemplu, HTTPS este o versiune securizată a HTTP deoarece implementează TLS pentru a asigura livrarea în siguranță a datelor prin evitarea modificărilor de conținut și a interceptării.

Funcționarea de bază a protocoalelor TLS/SSL

Comunicarea între părți (de exemplu, browserul computerului dvs. și un site web) se inițiază prin identificarea dacă aceasta este va încorpora sau nu protocolul TLS/SSL, astfel încât clientul să poată specifica utilizarea criptării TLS fie de:

• Specificarea unui port care acceptă criptarea comunicațiilor SSL sau
• Efectuând solicitări specifice protocolului TLS

Între timp, un site web necesită un certificat TLS/SSL instalat pe serverul său de găzduire pentru a utiliza protocolul. O terță parte de încredere emite certificatul care leagă cheia publică de domeniul respectiv deține cheia privată și îi permite să cripteze/decripteze comunicarea.

După ce a fost de acord cu utilizarea TLS/SSL pentru comunicarea client-server, se procedează la efectuarea strângerii de mână. Strângerea de mână stabilește specificațiile necesare pentru schimbul de mesaje. Următoarea secțiune rezumă seria de schimburi de informații pentru a activa conexiunea TLS/SSL:

1. Părțile convin asupra versiunii protocolului pe care o vor folosi, atunci
2. Atunci decide cu privire la algoritmii criptografici sau suita de criptare de utilizat
3. Apoi, autentifică părțile care comunică cu cheia publică și semnăturile digitale ale autorității emitente de certificare
4. Schimbă cheile de sesiune pentru a le utiliza în timpul comunicării. Atât protocoalele TLS, cât și SSL utilizează criptografia asimetrică pentru a genera chei partajate (publice) și private.

Dacă browserul nu poate valida certificatul TLS/SSL, returnează o eroare „Conexiune nu este privată”.

După stabilirea metodei de decriptare în timpul strângerii de mână, protocolul de înregistrare folosește criptarea simetrică pentru comunicare pentru întreaga sesiune. În plus, protocolul de înregistrare adaugă și mesajul cu HMAC pentru TLS și MAC pentru SSL pentru a asigura integritatea datelor.

Prin urmare, protocoalele realizează trei obiective fundamentale de securitate:

• Confidențialitate: Criptează datele pentru a le ascunde de terți, astfel încât numai destinatarul vizat să poată vizualiza conținutul.
• Integritate: Aplică codul de autentificare a mesajului pentru a verifica conținutul criptat al mesajului.
• Autentificare: Autentifică identitatea site-ului web/clientului/serverului cu ajutorul unui certificat pentru a se asigura că părțile care fac schimb de informații nu se pot retrage de la identitatea lor.

Care este diferența dintre TLS și SSL?

După cum am menționat mai devreme, principala diferență pe care o observați între ambele protocoale este modul în care stabilesc conexiunile. TLS handshake folosește o modalitate implicită de a stabili o conexiune printr-un protocol, în timp ce SSL realizează conexiuni explicite cu un port.

Indiferent de toate celelalte diferențe, caracteristica fundamentală care diferențiază ambele conexiuni TLS/SSL este utilizarea unei suite de criptare care decide securitatea generală a conexiunii.

Partea esențială a unei conexiuni TLS/SSL este de a conveni asupra unei suită de criptare care definește un set de algoritmi pentru schimbul de chei, autentificare, criptare în bloc și un cod de autentificare a mesajelor bazat pe hash (HMAC) sau algoritmi de cod de autentificare a mesajelor, etc. pentru o anumită sesiune. Fiecare versiune TLS/SSL acceptă un set diferit de suite de criptare pentru sesiunea de comunicare. Prin urmare, fiecare suită de criptare acceptă propriul set de algoritmi care îmbunătățește securitatea și performanța generală a conexiunii.

SSL	TLS
SSL este un protocol complex de implementat.	TLS este un protocol mai simplu.
SSL are trei versiuni, dintre care SSL 3.0 este cea mai recentă.	TLS are patru versiuni, dintre care versiunea TLS 1.3 este cea mai recentă
Toate versiunile de protocol SSL sunt vulnerabile la atacuri.	Protocolul TLS oferă securitate ridicată.
SSL folosește un cod de autentificare a mesajelor (MAC) după criptarea mesajului pentru integritatea datelor	TLS utilizează un cod de autentificare a mesajelor bazat pe hash în protocolul său de înregistrare.
SSL folosește rezumatul mesajelor pentru a crea un secret principal.	TLS folosește o funcție pseudo-aleatorie pentru a crea un secret principal.

De ce a înlocuit TLS SSL?

Criptarea TLS este acum o practică standard pentru a securiza aplicațiile web sau datele în tranzit împotriva interceptării și a falsificării. Este nerealist să presupunem că TLS este cel mai sigur protocol, deoarece a fost predispus la încălcări precum Crima și Heartbleed în 2012 și 2014, dar a prezentat o mulțime de îmbunătățiri în ceea ce privește performanța și Securitate.

TLS înlocuiește SSL și aproape toate versiunile SSL sunt acum depreciate din cauza vulnerabilităților sale cunoscute. Google Chrome este un astfel de exemplu care a încetat să mai folosească versiunea SSL 3.0 în 2014, iar majoritatea browserelor web moderne nu acceptă deloc SSL.

Utilizați TLS pentru comunicații criptate

TLS ajută la securizarea informațiilor sensibile în timpul transportului, cum ar fi detaliile cardului de credit, e-mailurile, vocea prin IP (VOIP), transferul de fișiere și parolele. Chiar dacă ambele certificate îndeplinesc sarcina de criptare a datelor în tranzit, ele diferă în funcție de funcționalitate și nu sunt interoperabile.

Este important de reținut că TLS este denumit SSL doar pentru că SSL este terminologia cel mai des folosită, iar prezența unui certificat nu garantează utilizarea protocolului TLS. În plus, nu trebuie să vă faceți griji cu privire la schimbarea certificatelor SSL în TLS, deoarece tot ce trebuie să faceți este să instalați certificatul pe server, deoarece acceptă ambele protocoale și decide pe care să îl utilizați.

7 motive pentru care site-ul dvs. are nevoie de un certificat SSL

Nu contează dacă dezvoltați un blog modest sau un site de comerț electronic complet: aveți nevoie de un certificat SSL. Iată câteva motive practice pentru care.

Citiți în continuare

Despre autor