Transport Layer Security (TLS) er den seneste version af Secure Socket Layer (SSL)-protokollen. Begge protokoller sikrer databeskyttelse og ægthed over internettet. Disse udbredte protokoller giver end-to-end sikkerhed ved at anvende kryptering til webbaseret kommunikation. På trods af lighederne mellem TLS og SSL har de også betydelige forskelle.
Denne artikel forklarer, hvordan TLS- og SSL-krypteringsprotokollerne fungerer, deres betydning, hvordan de adskiller sig, og hvorfor det er det rigtige tidspunkt at skifte til TLS-protokollen.
Den historiske baggrund for TLS og SSL
Internet Engineering Task Force (IETF), den organisation, der er ansvarlig for at udvikle internetstandarder, udgivet Anmodning om kommentarer (RFC-1984), der anerkender vigtigheden af beskyttelse af personoplysninger på det voksende internet. Netscape Communication Corporation introducerede SSL til sikker webkommunikation, som gennemgik flere opgraderinger.
SSL 1.0-versionen blev aldrig udgivet på grund af sikkerhedsfejl, og SSL 2.0 var den første offentlige udgivelse af Netscape i 1995. Men på grund af sikkerhedssårbarheder og -ulemper blev den erstattet af en anden SSL version 3.0 i november 1996. Den seneste SSL-version er heller ikke i brug på grund af dens usikkerhed mod
POODLE-angreb i oktober 2014 og blev officielt forældet i juni 2015.TLS blev udgivet i 1999 som en applikationsuafhængig protokol: en opgradering til SSL version 3.0 lavet af Internet Engineering Task Force (IETF). Ideen var at implementere TLS over TCP for at kryptere applikationer ved hjælp af FTP-, IMAP-, SMTP- og HTTP-protokoller. For eksempel, HTTPS er en sikker version af HTTP da den implementerer TLS for at sikre sikker datalevering ved at undgå indholdsændringer og aflytning.
Grundlæggende brug af TLS/SSL-protokoller
Kommunikation mellem parter (f.eks. din computerbrowser og et websted) starter ved at identificere, om det vil inkorporere TLS/SSL-protokol eller ej, således at klienten kan angive brugen af TLS-kryptering enten ved:
- Angivelse af en port, der understøtter SSL-kommunikationskryptering, eller
- Ved at lave TLS-protokolspecifikke anmodninger
I mellemtiden, en hjemmeside kræver et TLS/SSL-certifikat installeret på sin hostingserver for at bruge protokollen. En betroet tredjepart udsteder certifikatet, der binder den offentlige nøgle til det domæne, der ejer den private nøgle og gør det muligt at kryptere/dekryptere kommunikationen.
Efter at have accepteret at bruge TLS/SSL til klient-server-kommunikation, fortsætter den med at udføre håndtrykket. Håndtrykket etablerer de specifikationer, der kræves for at udveksle beskeder. Det følgende afsnit opsummerer rækken af informationsudvekslinger for at aktivere TLS/SSL-forbindelse:
- Parterne er så enige om, hvilken version af protokollen de vil bruge
- Beslutter så de kryptografiske algoritmer eller krypteringspakken, der skal bruges
- Autentificerer kommunikerende parter med deres offentlige nøgle og digitale signaturer fra den udstedende certifikatmyndighed
- Udveksler sessionsnøgler til brug under kommunikation. Både TLS- og SSL-protokoller bruger asymmetrisk kryptografi til at generere delte (offentlige) og private nøgler.
Hvis browseren ikke kan validere TLS/SSL-certifikatet, returnerer den fejlen "Forbindelsen er ikke privat."
Efter etablering af dekrypteringsmetoden under håndtrykket, optageprotokollen bruger symmetrisk kryptering til kommunikation for hele sessionen. Desuden tilføjer registreringsprotokollen også beskeden med HMAC for TLS og MAC for SSL for at sikre dataintegritet.
Derfor opnår protokollerne tre grundlæggende sikkerhedsmål:
- Fortrolighed: Krypterer data for at skjule dem for tredjeparter, således at kun en bestemt modtager kan se indholdet.
- Integritet: Anvender meddelelsesgodkendelseskode for at bekræfte krypteret meddelelsesindhold.
- Godkendelse: Autentificerer webstedet/klientens/serverens identitet ved hjælp af et certifikat for at sikre, at parter, der udveksler oplysninger, ikke kan trække sig tilbage fra deres identitet.
Hvad er forskellen mellem TLS og SSL?
Som nævnt tidligere er den største forskel, du bemærker mellem begge protokoller, hvordan de etablerer forbindelser. TLS-håndtryk bruger en implicit måde at etablere en forbindelse via en protokol, mens SSL laver eksplicitte forbindelser med en port.
Uanset alle andre forskelle er den grundlæggende funktion, der adskiller begge TLS/SSL-forbindelser, brugen af en krypteringspakke, der bestemmer forbindelsens overordnede sikkerhed.
Den væsentlige del af en TLS/SSL-forbindelse er at blive enige om en krypteringspakke, der definerer et sæt algoritmer til nøgleudveksling, godkendelse, massekryptering og en hash-baseret meddelelsesgodkendelseskode (HMAC) eller meddelelsesgodkendelseskodealgoritmer, etc. til en bestemt session. Hver TLS/SSL-version understøtter et andet sæt krypteringspakker til kommunikationssessionen. Derfor understøtter hver krypteringspakke sit eget sæt af algoritmer, der forbedrer sikkerheden og den overordnede forbindelsesydelse.
SSL | TLS |
---|---|
SSL er en kompleks protokol at implementere. | TLS er en enklere protokol. |
SSL har tre versioner, hvoraf SSL 3.0 er den seneste. | TLS har fire versioner, hvoraf TLS 1.3-versionen er den seneste |
Alle SSL-protokolversioner er sårbare over for angreb. | TLS-protokollen tilbyder høj sikkerhed. |
SSL bruger en meddelelsesgodkendelseskode (MAC) efter meddelelseskryptering for dataintegritet | TLS bruger en hash-baseret meddelelsesgodkendelseskode i sin registreringsprotokol. |
SSL bruger beskedsammendrag til at skabe en hovedhemmelighed. | TLS anvender en pseudo-tilfældig funktion til at skabe en masterhemmelighed. |
Hvorfor erstattede TLS SSL?
TLS-kryptering er nu en standardpraksis til at sikre webapplikationer eller data under transport mod aflytning og manipulation. Det er urealistisk at antage TLS som den mest sikre protokol, da den har været tilbøjelig til brud såsom kriminalitet og Heartbleed i 2012 og 2014, men det har vist en masse forbedringer med hensyn til ydeevne og sikkerhed.
TLS erstatter SSL, og næsten alle SSL-versioner er nu forældet på grund af dets kendte sårbarheder. Google Chrome er et sådant eksempel, der stoppede med at bruge SSL 3.0-versionen tilbage i 2014, og de fleste moderne webbrowsere understøtter slet ikke SSL.
Brug TLS til krypteret kommunikation
TLS hjælper med at sikre følsomme oplysninger under transport, såsom kreditkortoplysninger, e-mails, voice over IP (VOIP), filoverførsel og adgangskoder. Selvom begge certifikater udfører opgaven med in-transit datakryptering, adskiller de sig i funktionalitet og er ikke interoperable.
Det er vigtigt at bemærke, at TLS kun omtales som SSL, fordi SSL er den mest brugte terminologi, og tilstedeværelsen af et certifikat garanterer ikke brugen af TLS-protokollen. Desuden behøver du ikke bekymre dig om at ændre SSL til TLS-certifikater, da alt du skal gøre er at installere certifikatet på serveren, da det understøtter begge protokoller og beslutter, hvilken der skal bruges.
Det er lige meget, om du udvikler en beskeden blog eller en komplet e-handelsside: du har brug for et SSL-certifikat. Her er nogle praktiske grunde.
Læs Næste
- Teknologi forklaret
- Sikkerhed
- SSL
- OpenSSL
- Online sikkerhed
- Browsersikkerhed
- Datasikkerhed
Rumaisa er freelanceskribent på MUO. Hun har båret mange hatte, fra en matematiker til en informationssikkerhedsentusiast, og arbejder nu som SOC-analytiker. Hendes interesser inkluderer at læse og skrive om nye teknologier, Linux-distributioner og alt omkring informationssikkerhed.
Abonner på vores nyhedsbrev
Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!
Klik her for at abonnere