A Transport Layer Security (TLS) a Secure Socket Layer (SSL) protokoll legújabb verziója. Mindkét protokoll biztosítja az adatok titkosságát és hitelességét az interneten keresztül. Ezek a széles körben használt protokollok végpontok közötti biztonságot nyújtanak azáltal, hogy titkosítást alkalmaznak a webalapú kommunikációhoz. A TLS és az SSL hasonlóságai ellenére azonban jelentős különbségek is vannak.
Ez a cikk elmagyarázza, hogyan működnek a TLS és az SSL titkosítási protokollok, fontosak, miben különböznek, és miért van itt az ideje a TLS protokollra váltani.
A TLS és az SSL történelmi háttere
Megjelent az Internet Engineering Task Force (IETF), az internetes szabványok fejlesztéséért felelős szervezet Megjegyzéskérés (RFC-1984), felismerve a személyes adatok védelmének fontosságát a növekvő internetben. A Netscape Communication Corporation bevezette az SSL-t a biztonságos webes kommunikáció érdekében, amely többszöri frissítésen esett át.
Az SSL 1.0 verzió soha nem jelent meg biztonsági hibák miatt, és az SSL 2.0 volt a Netscape első nyilvános kiadása 1995-ben. A biztonsági rések és hátrányok miatt azonban 1996 novemberében egy másik SSL 3.0-s verzió váltotta fel. A legújabb SSL verzió szintén nincs használatban, mivel nem biztonságos a
uszkár támadás 2014 októberében és 2015 júniusában hivatalosan megszüntették.A TLS-t 1999-ben adták ki alkalmazásfüggetlen protokollként: az Internet Engineering Task Force (IETF) által az SSL 3.0-s verziójára történő frissítés. Az ötlet az volt, hogy a TLS-t TCP-n keresztül implementálják az alkalmazások titkosításához FTP, IMAP, SMTP és HTTP protokollok használatával. Például, A HTTPS a HTTP biztonságos változata mivel TLS-t valósít meg a biztonságos adattovábbítás biztosítása érdekében a tartalommódosítások és a lehallgatások elkerülésével.
A TLS/SSL protokollok alapvető működése
A felek közötti kommunikáció (például az Ön számítógépe böngészője és egy webhely) annak azonosításával kezdődik, hogy ez történik-e tartalmaz-e TLS/SSL protokollt vagy sem, így az ügyfél megadhatja a TLS titkosítás használatát által:
- Az SSL kommunikációs titkosítást támogató port megadása, vagy
- TLS-protokoll-specifikus kérésekkel
Eközben, egy webhelyhez TLS/SSL tanúsítvány szükséges telepítve van a hosting szerverére a protokoll használatához. Megbízható harmadik fél adja ki a tanúsítványt, amely a nyilvános kulcsot az adott tartományhoz köti birtokolja a privát kulcsot és lehetővé teszi a kommunikáció titkosítását/visszafejtését.
Miután megállapodott a TLS/SSL használatáról az ügyfél-szerver kommunikációhoz, folytatja a kézfogást. A kézfogás meghatározza az üzenetváltáshoz szükséges specifikációkat. A következő szakasz összefoglalja a TLS/SSL kapcsolat engedélyezéséhez szükséges információcseréket:
- A felek megállapodnak abban, hogy a protokoll melyik verzióját fogják használni
- Ezután dönt a használandó kriptográfiai algoritmusokról vagy rejtjelkészletről
- Hitelesíti a kommunikáló feleket nyilvános kulcsukkal és a kibocsátó hitelesítő hatóság digitális aláírásaival, majd
- Kicseréli a kommunikáció során használt munkamenetkulcsokat. Mind a TLS, mind az SSL protokollok aszimmetrikus kriptográfiát használnak a megosztott (nyilvános) és privát kulcsok létrehozásához.
Ha a böngésző nem tudja érvényesíteni a TLS/SSL-tanúsítványt, akkor a „Kapcsolat nem privát” hibát ad vissza.
A kézfogás során a visszafejtési módszer létrehozása után a rögzítési protokoll szimmetrikus titkosítást használ kommunikációhoz a teljes munkamenet során. Emellett a rekordprotokoll hozzáfűzi az üzenetet a HMAC for TLS és a MAC for SSL számára az adatok integritásának biztosítása érdekében.
Ezért a protokollok három alapvető biztonsági célt valósítanak meg:
- Titoktartás: Titkosítja az adatokat, hogy elrejtse azokat harmadik felek elől, így csak a célzott címzett láthatja a tartalmat.
- Sértetlenség: Üzenet hitelesítési kódot alkalmaz a titkosított üzenettartalom ellenőrzéséhez.
- Hitelesítés: Tanúsítvány segítségével hitelesíti a webhely/kliens/szerver identitását, hogy az információt cserélő felek ne tudjanak meghátrálni személyazonosságuktól.
Mi a különbség a TLS és az SSL között?
Amint azt korábban említettük, a két protokoll közötti fő különbség az, hogy hogyan hoznak létre kapcsolatokat. A TLS handshake implicit módot használ a kapcsolat létrehozására protokollon keresztül, míg az SSL explicit kapcsolatot létesít egy porttal.
Az összes többi különbségtől függetlenül az alapvető jellemző, amely megkülönbözteti mindkét TLS/SSL kapcsolatot, a titkosítási csomag használata, amely meghatározza a kapcsolat általános biztonságát.
A TLS/SSL kapcsolat lényeges része, hogy megállapodjunk egy titkosítási csomagban, amely meghatározza a kulcscseréhez szükséges algoritmusokat, hitelesítés, tömeges titkosítás és hash-alapú üzenet-hitelesítési kód (HMAC) vagy üzenet-hitelesítési kód algoritmusok, stb. egy adott munkamenethez. Minden TLS/SSL-verzió különböző titkosítási csomagokat támogat a kommunikációs munkamenethez. Ezért minden titkosítási csomag támogatja a saját algoritmuskészletét, amely javítja a biztonságot és az általános kapcsolati teljesítményt.
SSL | TLS |
---|---|
Az SSL egy összetett protokoll, amelyet implementálni kell. | A TLS egy egyszerűbb protokoll. |
Az SSL-nek három verziója van, amelyek közül az SSL 3.0 a legújabb. | A TLS-nek négy verziója van, amelyek közül a TLS 1.3-as verziója a legújabb |
Minden SSL protokollverzió sebezhető a támadásokkal szemben. | A TLS protokoll magas szintű biztonságot kínál. |
Az SSL az üzenettitkosítás után üzenethitelesítési kódot (MAC) használ az adatintegritás érdekében | A TLS hash-alapú üzenet-hitelesítési kódot használ a rekordprotokolljában. |
Az SSL az üzenet kivonatát használja a fő titok létrehozásához. | A TLS pszeudo-véletlen függvényt használ a fő titok létrehozásához. |
Miért váltotta fel a TLS az SSL-t?
A TLS-titkosítás ma már bevett gyakorlat a webalkalmazások vagy a továbbított adatok lehallgatástól és manipulációtól való védelmére. Irreális azt feltételezni, hogy a TLS a legbiztonságosabb protokoll, mivel hajlamos volt olyan jogsértésekre, mint például a Crime. és a Heartbleed 2012-ben és 2014-ben, de sok javulást mutatott a teljesítmény és a Biztonság.
A TLS felváltja az SSL-t, és az SSL-verziók szinte mindegyike elavult az ismert sebezhetőségei miatt. A Google Chrome az egyik ilyen példa, amely 2014-ben leállította az SSL 3.0-s verzió használatát, és a legtöbb modern webböngésző egyáltalán nem támogatja az SSL-t.
Használja a TLS-t a titkosított kommunikációhoz
A TLS segít megvédeni az érzékeny szállítás közbeni információkat, például hitelkártyaadatokat, e-maileket, IP-alapú hangot (VOIP), fájlátvitelt és jelszavakat. Annak ellenére, hogy mindkét tanúsítvány ellátja a továbbítás közbeni adattitkosítás feladatát, funkcionalitásukban különböznek egymástól, és nem interoperábilisak.
Fontos megjegyezni, hogy a TLS-t csak azért nevezik SSL-nek, mert az SSL a leggyakrabban használt terminológia, és a tanúsítvány megléte nem garantálja a TLS protokoll használatát. Emellett nem kell aggódnia amiatt, hogy az SSL-t TLS-tanúsítványokra cserélje, hiszen mindössze annyit kell tennie, hogy telepíti a tanúsítványt a szerverre, mivel mindkét protokollt támogatja, és eldönti, hogy melyiket használja.
Nem számít, hogy egy szerény blogot vagy egy teljes e-kereskedelmi webhelyet fejleszt: SSL-tanúsítványra van szüksége. Íme néhány gyakorlati ok, hogy miért.
Olvassa el a következőt
- Technológia magyarázata
- Biztonság
- SSL
- OpenSSL
- Online biztonság
- Böngésző biztonsága
- Adatbiztonság
Rumaisa a MUO szabadúszó írója. Sok kalapot viselt, a matematikustól az információbiztonság-rajongóig, és most SOC elemzőként dolgozik. Érdeklődési köre az új technológiákról, a Linux disztribúciókról és az információbiztonsággal kapcsolatos bármiről való olvasás és írás.
Iratkozzon fel hírlevelünkre
Csatlakozzon hírlevelünkhöz műszaki tippekért, ismertetőkért, ingyenes e-könyvekért és exkluzív ajánlatokért!
Kattintson ide az előfizetéshez