TLS a SSL
Istnieje wiele różnic między SSL i TLS, ponieważ TLS jest następcą SLS, z których wszystkie zostaną omówione w tym artykule. SSL, który odnosi się do Secure Socket Layer, jest protokołem używanym do zapewnienia bezpieczeństwa połączeń między serwerem a klientem. Protokół ten wykorzystuje mechanizmy bezpieczeństwa, takie jak kryptografia i mieszanie, w celu zapewnienia usług bezpieczeństwa, takich jak poufność, integralność i uwierzytelnianie punktów końcowych w połączeniach między serwerem a klientem. TLS, który odnosi się do Transport Layer Security, jest następcą SSL, który zawiera poprawki błędów i ulepszenia w stosunku do SSL. SSL, teraz trochę stary, ma wiele znanych błędów bezpieczeństwa, dlatego zaleca się używanie najnowszej wersji TLS, czyli TLS 1.2. SSL pojawił się w wersji 3.0, a potem nazwa została zmieniona na TLS.
Co to jest SSL?
SSL, który odnosi się do Secure Socket Layer, to protokół używany do zapewniania bezpiecznych połączeń między klientem a serwerem. Połączenie TCP może zapewnić niezawodne łącze między serwerem a klientem, ale nie zapewnia usług, takich jak poufność, integralność i uwierzytelnianie punktu końcowego. Tak więc SSL został wprowadzony przez firmę Netscape na początku lat 90. w celu świadczenia tych usług. Pierwsza wersja SSL, znana jako SSL 1.0, nigdy nie została udostępniona publicznie, ponieważ miała wiele luk w zabezpieczeniach. Jednak w 1995 r. wprowadzono SSL 2.0, który zapewniał lepsze zabezpieczenia niż SSL 1.0, aw 1996 r. wprowadzono SSL 3.0 z większą liczbą ulepszeń. Kolejne wersje protokołu SSL pojawiły się pod nazwą TLS.
SSL, który jest zaimplementowany w warstwie transportowej, może zabezpieczyć protokół taki jak TCP, stosując różne środki bezpieczeństwa. Zapewni poufność, używając szyfrowania, aby uniemożliwić podsłuchiwanie. Używa zarówno szyfrowania asymetrycznego, jak i symetrycznego. Po pierwsze, przy użyciu asymetrycznego szyfrowania kluczem, ustanawiany jest symetryczny klucz sesji, który następnie byłby używany do szyfrowania ruchu. Kryptografia klucza asymetrycznego jest również używana w przypadku certyfikatów cyfrowych używanych do uwierzytelniania serwera. Następnie w celu zapewnienia integralności (identyfikacji wszelkich nieuwierzytelnionych modyfikacji dokonanych na rzeczywistych danych) wykorzystywany jest kod uwierzytelniania wiadomości, który wykorzystuje różne techniki haszowania. Tak więc protokół taki jak SSL umożliwia przesyłanie poufnych informacji, takich jak transakcje bankowe i informacje o kartach kredytowych, przez Internet. Służy również do zapewnienia poufności usług, takich jak poczta e-mail, przeglądanie stron internetowych, przesyłanie wiadomości i transmisja głosu przez IP.
SSL jest teraz przestarzały i ma wiele problemów z bezpieczeństwem, a jego użycie nie jest obecnie zalecane. SSL 3.0 do niedawna był domyślnie włączony w wielu przeglądarkach, ale teraz planuje się wyłączyć w przyszłych wersjach z powodu poważnych błędów bezpieczeństwa, takich jak atak POODLE.
Co to jest TLS?
TLS, który odnosi się do Transport Layer Security, jest następcą SSL. Po SSL 3.0 w 1999 roku pojawiła się kolejna wersja jako TLS 1.0. Następnie w 2006 roku wprowadzono ulepszoną wersję o nazwie TLS 1.1. Następnie, w 2008 roku, dokonano dalszych ulepszeń i poprawek błędów oraz wprowadzono TLS 1.2. Obecnie TLS 1.2 to najnowsza dostępna wersja Transport Layer Security. Podobnie jak SSL, TLS zapewnia również usługi bezpieczeństwa, takie jak poufność, integralność i uwierzytelnianie punktów końcowych. Podobnie szyfrowanie, kod uwierzytelniania wiadomości i certyfikaty cyfrowe są wykorzystywane do świadczenia tych usług bezpieczeństwa. TLS jest odporny na ataki, takie jak atak POODLE, który naruszył bezpieczeństwo SSL 3.0.
Zaleca się używanie najnowszej wersji TLS, TLS 1.2, ponieważ jest ona najnowsza i ma najmniej luk w zabezpieczeniach. Żaden system bezpieczeństwa nie jest doskonały i z czasem zostaną wykryte wady, aw przyszłości zostanie wydana wersja 1.3 TLS, która naprawi wykryte błędy. Jednak obecnie TLS 1.2 jest najbezpieczniejszym i we wszystkich popularnych przeglądarkach jest domyślnie włączony.
Jaka jest różnica między SSL a TLS?
• TLS jest następcą SLS. SLS został wprowadzony w latach 90-tych i wprowadzono trzy wersje, a mianowicie SSL 1.0, SSL 2.0 i SSL 3.0. Następnie, w 1999 roku, kolejna wersja SSL została nazwana TLS 1.0. Następnie wprowadzono TLS 1.1, a aktualna najnowsza wersja to TLS 1.2.
• SSL ma wiele błędów i jest podatny na znane ataki niż TLS. W najnowszych wersjach TLS większość błędów została naprawiona, dzięki czemu jest odporny na ataki.
• TLS ma nowe funkcje i obsługuje nowe algorytmy w porównaniu z SSL.
• Wraz z atakiem zwanym atakiem POODLE, korzystanie z SSL stało się teraz bardzo podatne na ataki, aw nowych wersjach przeglądarek internetowych SSL zostanie domyślnie wyłączony. Jednak we wszystkich przeglądarkach TLS jest domyślnie włączony.
• TLS obsługuje nowe zestawy algorytmów uwierzytelniania i wymiany kluczy, takie jak ECDH-RSA, ECDH-ECDSA, PSK i SRP.
• Zestawy algorytmów kodów uwierzytelniania wiadomości, takie jak HMAC-SHA256/384 i AEAD, są dostępne w najnowszych wersjach TLS, ale nie w SSL.
• SSL został opracowany i edytowany w Netscape. Jednak TLS jest w ramach Internet Engineering Task Force jako standardowy protokół i dlatego jest dostępny w RFC.
• Istnieją różnice w implementacji protokołu, takie jak wymiana kluczy i pozyskiwanie kluczy.
Podsumowanie:
TLS a SSL
TLS jest następcą SSL, dlatego TLS zawiera wiele ulepszeń i poprawek błędów związanych z SSL. SSL został wprowadzony na początku lat 90., a trzy wersje zostały wprowadzone do SSL 3.0. Następnie, w 1999 roku, pojawiła się kolejna wersja SSL pod nazwą TLS 1.0. Obecnie najnowsza wersja to TLS 1.2. SSL jako stary protokół ma wiele znanych błędów bezpieczeństwa i dlatego jest podatny na znane ataki, takie jak atak POODLE. Najnowsza wersja TLS zawiera poprawki tych ataków, a także obsługuje nowe funkcje i algorytmy. Dlatego w przypadku aplikacji, które wymagają lepszego zabezpieczenia, zalecana jest najnowsza wersja TLS, zamiast używania starych protokołów SSL.
