SSL a
Komunikacja za pośrednictwem sieci lub Internetu może stać się bardzo niepewna, jeśli nie zostaną zastosowane odpowiednie środki bezpieczeństwa. Może to mieć krytyczne znaczenie dla aplikacji, takich jak transakcje płatnicze w Internecie, powodując straty w wysokości milionów dolarów dla klienta i przedsiębiorstwa. Tutaj wkraczają SSL i HTTPS. SSL to protokół kryptograficzny używany do zapewnienia bezpieczeństwa komunikacji ponad warstwą transportową. HTTPS to połączenie HTTP i SSL, które umożliwia tworzenie bezpiecznych kanałów w niezabezpieczonych sieciach.
Co to jest SSL?
SSL (Secure Socket Layer) to protokół kryptograficzny służący do zapewnienia bezpieczeństwa komunikacji odbywającej się w Internecie. SSL wykorzystuje kryptografię asymetryczną, aby zachować prywatność i kody uwierzytelniania wiadomości w celu zapewnienia niezawodności wszystkich połączeń sieciowych powyżej warstwy transportowej. SSL jest szeroko stosowany do przeglądania stron internetowych, poczty e-mail, faksowania przez Internet, IM (wiadomości błyskawiczne) i VoIP (Voce-over-IP). SSL został opracowany przez Netscape Corporation, a jego następcą został TLS (Transport Layer Security). SSL 2.0 został wydany w 1995 roku (wersja 1.0 nigdy nie została opublikowana publicznie), a wersja 3.0 (wydawana roczna warstwa) zastąpiła wersję 2.0 (która miała kilka istotnych luk bezpieczeństwa). Później TLS został wprowadzony jako SSL 3.1. Obecna wersja to SSL 3.3, który jest w większości identyfikowany jako TLS 1.2. SSL zawiera protokoły warstwy aplikacji, takie jak HTTP, FTP i SMTP, dzięki implementacji w warstwie transportowej. Tradycyjnie był używany z TCP (Transmission Control Protocol) iw mniejszym stopniu z UDP (User Datagram Protocol). Protokół SSL jest używany z protokołem HTTP do uzyskania protokołu HTTPS, który wykorzystuje certyfikaty klucza publicznego do identyfikacji punktów końcowych aplikacji, takich jak handel elektroniczny.
Co to jest
HTTPS (Bezpieczny HTTP) to protokół stworzony przez połączenie protokołów HTTP (HyeperText Transfer Protocol) i SSL/TLS. HTTPS zapewnia bezpieczną komunikację poprzez szyfrowanie i identyfikuje punkty końcowe połączeń, dzięki czemu idealnie nadaje się do zastosowań takich jak transfery płatności w sieci WWW (World Wide Web) lub wrażliwe transakcje w korporacjach. Zasadniczo HTTPS może utworzyć bezpieczne połączenie przez niezabezpieczoną sieć. Jeśli używane zestawy szyfrów są odpowiednie, a certyfikaty serwera są zaufane, te bezpieczne kanały HTTPS będą chronić przed podsłuchiwaniem i atakami Man-in-the-Middle. Ale nawet jeśli używany jest protokół HTTPS, użytkownik może zagwarantować, że kanał jest w pełni bezpieczny tylko wtedy, gdy spełnione są wszystkie następujące warunki: przeglądarka poprawnie implementuje protokół HTTPS z urzędami certyfikacji (Certificate Authorities), urzędy certyfikacji ręczą tylko za legalne witryny, certyfikat dostarczony przez strona jest prawidłowa, strona jest poprawnie identyfikowana przez certyfikat i wreszcie, przeskoki pośrednie są godne zaufania. Wszystkie nowoczesne przeglądarki ostrzegają użytkowników, jeśli otrzymają nieprawidłowe certyfikaty ze stron internetowych. Oczywiście użytkownik ma możliwość kontynuowania dalszych działań na własne ryzyko.
Jaka jest różnica między SSL a
Główna różnica między SSL i HTTPS polega na tym, że SSL jest protokołem kryptograficznym, podczas gdy HTTPS jest protokołem stworzonym z połączenia HTTP i SSL. Czasami jednak HTTPS nie jest identyfikowany jako protokół per se, ale mechanizm, który wykorzystuje tylko protokół HTTP przez zaszyfrowane połączenia SSL. Innymi słowy, HTTPS używa SSL do tworzenia bezpiecznego połączenia HTTP. Dzięki szyfrowaniu zapewnianemu przez SSL, HTTPS jest w stanie wytrzymać podsłuchiwanie i ataki typu man-in-the-middle.
