Różnica między SSL a TLS

TLS vs SSL
 

Istnieje wiele różnic między SSL i TLS, ponieważ TLS jest następcą SLS, o których wszystkie zostaną omówione w tym artykule. SSL, który odnosi się do Bezpieczna warstwa gniazd, to protokół używany do zapewnienia bezpieczeństwa połączeń między serwerem a klientem. Ten protokół wykorzystuje mechanizmy bezpieczeństwa, takie jak kryptografia i mieszanie, w celu zapewnienia usług bezpieczeństwa, takich jak poufność, integralność i uwierzytelnianie punktu końcowego w połączeniach między serwerem a klientem. TLS, który odnosi się do Bezpieczeństwo warstwy transportowej, jest następcą protokołu SSL, który obejmuje poprawki błędów i ulepszenia w stosunku do protokołu SSL. SSL, który jest już nieco stary, ma wiele znanych błędów bezpieczeństwa, dlatego zaleca się stosowanie najnowszej wersji TLS, czyli TLS 1.2. SSL przyszedł do wersji 3.0, a następnie nazwa została zmieniona na TLS.

Co to jest SSL ?

SSL, który odnosi się do Bezpieczna warstwa gniazd, to protokół używany do zapewniania bezpiecznych połączeń między klientem a serwerem. Połączenie TCP może zapewnić niezawodne połączenie między serwerem a klientem, ale nie może świadczyć usług, takich jak poufność, integralność i uwierzytelnianie punktu końcowego. Tak więc protokół SSL został wprowadzony przez Netscape na początku lat dziewięćdziesiątych w celu świadczenia tych usług. Pierwsza wersja SSL, znana jako SSL 1.0, nigdy nie została opublikowana publicznie, ponieważ miała wiele luk w zabezpieczeniach. Jednak w 1995 r. Wprowadzono SSL 2.0, który zapewniał lepsze bezpieczeństwo niż SSL 1.0, aw 1996 r. Wprowadzono SSL 3.0 z większymi ulepszeniami. Kolejne wersje protokołu SSL pojawiły się pod nazwą TLS.

SSL, który jest zaimplementowany w warstwie transportowej, może zabezpieczyć protokół, taki jak TCP, poprzez zastosowanie różnych środków bezpieczeństwa. Zapewni poufność za pomocą szyfrowania, aby nikt nie podsłuchiwał. Wykorzystuje szyfrowanie asymetryczne i symetryczne. Po pierwsze, stosując szyfrowanie kluczem asymetrycznym, ustanawia się symetryczny klucz sesji, który następnie będzie wykorzystywany do szyfrowania ruchu. Kryptografia klucza asymetrycznego służy również do certyfikatów cyfrowych używanych do uwierzytelniania serwera. Następnie stosuje się kod uwierzytelniania wiadomości, który wykorzystuje różne techniki mieszania, aby zapewnić integralność (zidentyfikować wszelkie nieuwierzytelnione modyfikacje rzeczywistych danych). Protokół taki jak SSL pozwala na przesyłanie przez Internet poufnych informacji, takich jak transakcje bankowe i informacje o karcie kredytowej. Służy również do zapewniania poufności usług, takich jak poczta e-mail, przeglądanie stron internetowych, wiadomości i komunikacja głosowa przez IP.

Protokół SSL jest obecnie nieaktualny i ma wiele problemów z bezpieczeństwem, a jego użycie nie jest obecnie zalecane. SSL 3.0 był domyślnie włączony do niedawna w wielu przeglądarkach, ale teraz planują go wyłączyć w przyszłych wersjach z powodu poważnych błędów bezpieczeństwa, takich jak atak POODLE.

Co to jest TLS?

TLS, który odnosi się do Bezpieczeństwo warstwy transportowej, jest następcą SSL. Po SSL 3.0 następna wersja pojawiła się jako TLS 1.0 w 1999 roku. Następnie w 2006 roku wprowadzono ulepszoną wersję o nazwie TLS 1.1. Następnie w 2008 r. Wprowadzono dalsze ulepszenia i poprawki błędów oraz wprowadzono TLS 1.2. Obecnie TLS 1.2 jest najnowszą dostępną wersją Transport Layer Security. Podobnie jak SSL, TLS zapewnia również usługi bezpieczeństwa, takie jak poufność, integralność i uwierzytelnianie punktu końcowego. Podobnie szyfrowanie, kod uwierzytelnienia wiadomości i certyfikaty cyfrowe są używane do świadczenia tych usług bezpieczeństwa. TLS jest odporny na ataki takie jak atak POODLE, który naruszył bezpieczeństwo protokołu SSL 3.0.

Zaleca się stosowanie najnowszej wersji TLS, TLS 1.2, ponieważ jest najnowsza i ma najmniej błędów w zabezpieczeniach. Każdy system bezpieczeństwa nie jest doskonały i z czasem zostaną wykryte wady, a w przyszłości zostanie wydana wersja 1.3 TLS, która naprawi wykryte błędy. Jednak obecnie TLS 1.2 jest najbezpieczniejszy i we wszystkich przeglądarkach głównego nurtu jest on domyślnie włączony.

Jaka jest różnica między SSL a TLS?

• TLS jest następcą SLS. SLS został wprowadzony w latach 90. i wprowadzono trzy wersje, a mianowicie SSL 1.0, SSL 2.0 i SSL 3.0. Następnie w 1999 r. Następna wersja SSL została nazwana TLS 1.0. Następnie wprowadzono TLS 1.1, a aktualna najnowsza wersja to TLS 1.2.

• SSL zawiera wiele błędów i jest podatny na znane ataki niż TLS. W najnowszych wersjach TLS większość błędów została naprawiona i dlatego jest odporna na ataki.

• TLS ma nowe funkcje i obsługuje nowe algorytmy w porównaniu do SSL.

• Wraz z atakiem o nazwie atak POODLE, teraz użycie SSL stało się bardzo podatne na atak, a w nowych wersjach przeglądarek SSL domyślnie zostanie wyłączony. Jednak we wszystkich przeglądarkach protokół TLS jest domyślnie włączony.

• TLS obsługuje nowe zestawy algorytmów uwierzytelniania i wymiany kluczy, takie jak ECDH-RSA, ECDH-ECDSA, PSK i SRP.

• Zestawy algorytmów kodu uwierzytelniania wiadomości, takie jak HMAC-SHA256 / 384 i AEAD, są dostępne w najnowszych wersjach TLS, ale nie w SSL.

• SSL został opracowany i edytowany w Netscape. Jednak TLS jest częścią Standardowego Zespołu Zadań Inżynierii Internetowej i dlatego jest dostępny w ramach RFC.

• Istnieją różnice w implementacji protokołu, takie jak wymiana kluczy i wyprowadzanie kluczy.

Streszczenie:

TLS vs SSL

TLS jest następcą SSL, dlatego TLS zawiera wiele ulepszeń i poprawek błędów w stosunku do SSL. SSL został wprowadzony na początku lat dziewięćdziesiątych, a do wersji 3.0 wprowadzono trzy wersje. Następnie w 1999 r. Pojawiła się kolejna wersja protokołu SSL pod nazwą TLS 1.0. Obecnie najnowszą wersją jest TLS 1.2. SSL będący starym protokołem zawiera wiele znanych błędów bezpieczeństwa i dlatego jest podatny na znane ataki, takie jak atak POODLE. Najnowsza wersja TLS ma poprawki do tych ataków, a także obsługuje nowe funkcje i algorytmy. Dlatego w przypadku aplikacji wymagających większego bezpieczeństwa zamiast najnowszej wersji protokołu SSL zaleca się najnowszą wersję protokołu TLS.

Obrazy dzięki uprzejmości: 

  1. TLS autor: Jeffreytedjosukmono (CC BY-SA 3.0)