TLS vs. SSL: Mi a különbség és hogyan működik?

A Transport Layer Security (TLS) a Secure Socket Layer (SSL) protokoll legújabb verziója. Mindkét protokoll biztosítja az adatok titkosságát és hitelességét az interneten keresztül. Ezek a széles körben használt protokollok végpontok közötti biztonságot nyújtanak azáltal, hogy titkosítást alkalmaznak a webalapú kommunikációhoz. A TLS és az SSL hasonlóságai ellenére azonban jelentős különbségek is vannak.

Ez a cikk elmagyarázza, hogyan működnek a TLS és az SSL titkosítási protokollok, fontosak, miben különböznek, és miért van itt az ideje a TLS protokollra váltani.

A TLS és az SSL történelmi háttere

Megjelent az Internet Engineering Task Force (IETF), az internetes szabványok fejlesztéséért felelős szervezet Megjegyzéskérés (RFC-1984), felismerve a személyes adatok védelmének fontosságát a növekvő internetben. A Netscape Communication Corporation bevezette az SSL-t a biztonságos webes kommunikáció érdekében, amely többszöri frissítésen esett át.

Az SSL 1.0 verzió soha nem jelent meg biztonsági hibák miatt, és az SSL 2.0 volt a Netscape első nyilvános kiadása 1995-ben. A biztonsági rések és hátrányok miatt azonban 1996 novemberében egy másik SSL 3.0-s verzió váltotta fel. A legújabb SSL verzió szintén nincs használatban, mivel nem biztonságos a

uszkár támadás 2014 októberében és 2015 júniusában hivatalosan megszüntették.

A TLS-t 1999-ben adták ki alkalmazásfüggetlen protokollként: az Internet Engineering Task Force (IETF) által az SSL 3.0-s verziójára történő frissítés. Az ötlet az volt, hogy a TLS-t TCP-n keresztül implementálják az alkalmazások titkosításához FTP, IMAP, SMTP és HTTP protokollok használatával. Például, A HTTPS a HTTP biztonságos változata mivel TLS-t valósít meg a biztonságos adattovábbítás biztosítása érdekében a tartalommódosítások és a lehallgatások elkerülésével.

A TLS/SSL protokollok alapvető működése

A felek közötti kommunikáció (például az Ön számítógépe böngészője és egy webhely) annak azonosításával kezdődik, hogy ez történik-e tartalmaz-e TLS/SSL protokollt vagy sem, így az ügyfél megadhatja a TLS titkosítás használatát által:

• Az SSL kommunikációs titkosítást támogató port megadása, vagy
• TLS-protokoll-specifikus kérésekkel

Eközben, egy webhelyhez TLS/SSL tanúsítvány szükséges telepítve van a hosting szerverére a protokoll használatához. Megbízható harmadik fél adja ki a tanúsítványt, amely a nyilvános kulcsot az adott tartományhoz köti birtokolja a privát kulcsot és lehetővé teszi a kommunikáció titkosítását/visszafejtését.

Miután megállapodott a TLS/SSL használatáról az ügyfél-szerver kommunikációhoz, folytatja a kézfogást. A kézfogás meghatározza az üzenetváltáshoz szükséges specifikációkat. A következő szakasz összefoglalja a TLS/SSL kapcsolat engedélyezéséhez szükséges információcseréket:

1. A felek megállapodnak abban, hogy a protokoll melyik verzióját fogják használni
2. Ezután dönt a használandó kriptográfiai algoritmusokról vagy rejtjelkészletről
3. Hitelesíti a kommunikáló feleket nyilvános kulcsukkal és a kibocsátó hitelesítő hatóság digitális aláírásaival, majd
4. Kicseréli a kommunikáció során használt munkamenetkulcsokat. Mind a TLS, mind az SSL protokollok aszimmetrikus kriptográfiát használnak a megosztott (nyilvános) és privát kulcsok létrehozásához.

Ha a böngésző nem tudja érvényesíteni a TLS/SSL-tanúsítványt, akkor a „Kapcsolat nem privát” hibát ad vissza.

A kézfogás során a visszafejtési módszer létrehozása után a rögzítési protokoll szimmetrikus titkosítást használ kommunikációhoz a teljes munkamenet során. Emellett a rekordprotokoll hozzáfűzi az üzenetet a HMAC for TLS és a MAC for SSL számára az adatok integritásának biztosítása érdekében.

Ezért a protokollok három alapvető biztonsági célt valósítanak meg:

• Titoktartás: Titkosítja az adatokat, hogy elrejtse azokat harmadik felek elől, így csak a célzott címzett láthatja a tartalmat.
• Sértetlenség: Üzenet hitelesítési kódot alkalmaz a titkosított üzenettartalom ellenőrzéséhez.
• Hitelesítés: Tanúsítvány segítségével hitelesíti a webhely/kliens/szerver identitását, hogy az információt cserélő felek ne tudjanak meghátrálni személyazonosságuktól.

Mi a különbség a TLS és az SSL között?

Amint azt korábban említettük, a két protokoll közötti fő különbség az, hogy hogyan hoznak létre kapcsolatokat. A TLS handshake implicit módot használ a kapcsolat létrehozására protokollon keresztül, míg az SSL explicit kapcsolatot létesít egy porttal.

Az összes többi különbségtől függetlenül az alapvető jellemző, amely megkülönbözteti mindkét TLS/SSL kapcsolatot, a titkosítási csomag használata, amely meghatározza a kapcsolat általános biztonságát.

A TLS/SSL kapcsolat lényeges része, hogy megállapodjunk egy titkosítási csomagban, amely meghatározza a kulcscseréhez szükséges algoritmusokat, hitelesítés, tömeges titkosítás és hash-alapú üzenet-hitelesítési kód (HMAC) vagy üzenet-hitelesítési kód algoritmusok, stb. egy adott munkamenethez. Minden TLS/SSL-verzió különböző titkosítási csomagokat támogat a kommunikációs munkamenethez. Ezért minden titkosítási csomag támogatja a saját algoritmuskészletét, amely javítja a biztonságot és az általános kapcsolati teljesítményt.

SSL	TLS
Az SSL egy összetett protokoll, amelyet implementálni kell.	A TLS egy egyszerűbb protokoll.
Az SSL-nek három verziója van, amelyek közül az SSL 3.0 a legújabb.	A TLS-nek négy verziója van, amelyek közül a TLS 1.3-as verziója a legújabb
Minden SSL protokollverzió sebezhető a támadásokkal szemben.	A TLS protokoll magas szintű biztonságot kínál.
Az SSL az üzenettitkosítás után üzenethitelesítési kódot (MAC) használ az adatintegritás érdekében	A TLS hash-alapú üzenet-hitelesítési kódot használ a rekordprotokolljában.
Az SSL az üzenet kivonatát használja a fő titok létrehozásához.	A TLS pszeudo-véletlen függvényt használ a fő titok létrehozásához.

Miért váltotta fel a TLS az SSL-t?

A TLS-titkosítás ma már bevett gyakorlat a webalkalmazások vagy a továbbított adatok lehallgatástól és manipulációtól való védelmére. Irreális azt feltételezni, hogy a TLS a legbiztonságosabb protokoll, mivel hajlamos volt olyan jogsértésekre, mint például a Crime. és a Heartbleed 2012-ben és 2014-ben, de sok javulást mutatott a teljesítmény és a Biztonság.

A TLS felváltja az SSL-t, és az SSL-verziók szinte mindegyike elavult az ismert sebezhetőségei miatt. A Google Chrome az egyik ilyen példa, amely 2014-ben leállította az SSL 3.0-s verzió használatát, és a legtöbb modern webböngésző egyáltalán nem támogatja az SSL-t.

Használja a TLS-t a titkosított kommunikációhoz

A TLS segít megvédeni az érzékeny szállítás közbeni információkat, például hitelkártyaadatokat, e-maileket, IP-alapú hangot (VOIP), fájlátvitelt és jelszavakat. Annak ellenére, hogy mindkét tanúsítvány ellátja a továbbítás közbeni adattitkosítás feladatát, funkcionalitásukban különböznek egymástól, és nem interoperábilisak.

Fontos megjegyezni, hogy a TLS-t csak azért nevezik SSL-nek, mert az SSL a leggyakrabban használt terminológia, és a tanúsítvány megléte nem garantálja a TLS protokoll használatát. Emellett nem kell aggódnia amiatt, hogy az SSL-t TLS-tanúsítványokra cserélje, hiszen mindössze annyit kell tennie, hogy telepíti a tanúsítványt a szerverre, mivel mindkét protokollt támogatja, és eldönti, hogy melyiket használja.

7 ok, amiért webhelyének SSL-tanúsítványra van szüksége

Nem számít, hogy egy szerény blogot vagy egy teljes e-kereskedelmi webhelyet fejleszt: SSL-tanúsítványra van szüksége. Íme néhány gyakorlati ok, hogy miért.

Olvassa el a következőt

A szerzőről