Forskellen mellem SSL og TLS

TLS vs SSL
 

Der er en række forskelle mellem SSL og TLS, da TLS er efterfølgeren til SLS, som alle vil blive drøftet i denne artikel. SSL, der henviser til Sikker sokkellag, er en protokol, der bruges til at give sikkerhed til forbindelser mellem en server og en klient. Denne protokol bruger sikkerhedsmekanismer som kryptografi og hashing til at levere sikkerhedstjenester såsom fortrolighed, integritet og slutpunktsgodkendelse til forbindelser mellem en server og en klient. TLS, der henviser til Transportlagsikkerhed, er efterfølgeren til SSL, der inkluderer fejlrettelser og forbedringer i forhold til SSL. SSL, der nu er lidt gammel, har en masse kendte sikkerhedsfejl, og det anbefales derfor at bruge den nyeste version af TLS, som er TLS 1.2. SSL kom op til version 3.0, og derefter blev navnet ændret til TLS.

Hvad er SSL ?

SSL, der henviser til Sikker sokkellag, er en protokol, der bruges til at levere sikre forbindelser mellem en klient og en server. En TCP-forbindelse kan give en pålidelig forbindelse mellem en server og en klient, men kan ikke levere tjenester såsom fortrolighed, integritet og slutpunktgodkendelse. Så SSL blev introduceret af Netscape i begyndelsen af ​​1990'erne for at levere disse tjenester. Den første version af SSL, der er kendt som SSL 1.0, blev aldrig frigivet for offentligheden, da den havde mange sikkerhedshuller. Imidlertid blev SSL 2.0, der leverede bedre sikkerhed end SSL 1.0, introduceret i 1995, og i 1996 blev SSL 3.0 introduceret med flere forbedringer. De næste versioner af SSL-protokollen blev vist under navnet TLS.

SSL, der er implementeret i transportlaget, kan sikre en protokol som TCP ved at anvende forskellige sikkerhedsforanstaltninger. Det giver fortrolighed ved hjælp af krypteringer for at forhindre, at nogen aflytter. Den bruger både asymmetrisk og symmetrisk kryptering. Ved hjælp af asymmetrisk nøglekryptering etableres først en symmetrisk sessionnøgle, som derefter vil blive brugt til at kryptere trafikken. Asymmetrisk nøglekryptografi bruges også til digitale certifikater, der bruges til at autentificere serveren. Derefter bruges Message Authentication Code, der bruger forskellige hashing-teknikker, til at tilvejebringe integritet (identificere enhver ikke-godkendt ændring, der er udført til de rigtige data). Så en protokol som SSL tillader transmission af følsomme oplysninger såsom banktransaktioner og kreditkortoplysninger over internettet. Det bruges også til at give fortrolighed for tjenester som e-mail, webbrowsing, messaging og voice over IP.

SSL er nu forældet og har mange sikkerhedsproblemer, hvor dets brug ikke i øjeblikket anbefales meget. SSL 3.0 blev aktiveret som standard indtil for nylig i mange browsere, men nu planlægger de at deaktivere i de fremtidige versioner på grund af alvorlige sikkerhedsfejl såsom POODLE-angreb.

Hvad er TLS?

TLS, der henviser til Transportlagsikkerhed, er efterfølgeren til SSL. Efter SSL 3.0 kom den næste version frem som TLS 1.0 i 1999. Derefter, i 2006, blev en forbedret version kaldet TLS 1.1 introduceret. Derefter, i 2008, blev yderligere forbedringer og fejlrettelser udført, og TLS 1.2 blev introduceret. I øjeblikket er TLS 1.2 den seneste tilgængelige version af Transport Layer Security. Ligesom SSL leverer TLS også sikkerhedstjenester som fortrolighed, integritet og slutpunktsgodkendelse. Tilsvarende bruges kryptering, meddelelsesgodkendelseskode og digitale certifikater til at levere disse sikkerhedstjenester. TLS er immun mod angreb såsom POODLE-angreb, som har kompromitteret sikkerheden ved SSL 3.0.

Anbefalingen er at bruge den seneste TLS-version, TLS 1.2, da den er den seneste, den har mindst sikkerhedsfejl. Ethvert sikkerhedssystem er ikke perfekt, og med tidsfejl vil der blive opdaget, og i fremtiden vil TLS-version 1.3 blive frigivet, der vil løse disse opdagede fejl. I øjeblikket er TLS 1.2 imidlertid den mest sikre, og i alle mainstream-browsere er dette aktiveret som standard.

Hvad er forskellen mellem SSL og TLS?

• TLS er SLS 'efterfølger. SLS blev introduceret i 1990'erne, og tre versioner er blevet introduceret, nemlig SSL 1.0, SSL 2.0 og SSL 3.0. Herefter blev den næste version af SSL i 1999 navngivet TLS 1.0. Derefter blev TLS 1.1 introduceret, og den aktuelle seneste version er TLS 1.2.

• SSL har mange fejl og er modtagelige for kendte angreb end TLS. I de nyeste TLS-versioner er de fleste bugs rettet og er derfor immun mod angreb.

• TLS har nye funktioner og understøtter nye algoritmer sammenlignet med SSL.

• Med det angreb, der kaldes POODLE-angreb, er brugen af ​​SSL nu blevet meget sårbar, og i de nye versioner af webbrowsere vil SSL blive deaktiveret som standard. I alle browsere er TLS imidlertid aktiveret som standard.

• TLS understøtter nye godkendelses- og nøgleudvekslingsalgoritmer suiter såsom ECDH-RSA, ECDH-ECDSA, PSK og SRP.

• Meddelelsesgodkendelseskodealgoritme-pakker som HMAC-SHA256 / 384 og AEAD er tilgængelige i de nyeste TLS-versioner, men ikke i SSL.

• SSL blev udviklet og redigeret under Netscape. TLS er dog under Internet Engineering Task Force som en standardprotokol og er derfor tilgængelig under RFC.

• Der er forskelle i implementeringen af ​​protokollen, såsom i nøgleudveksling og nøgledivation.

Resumé:

TLS vs SSL

TLS er efterfølgeren til SSL og derfor inkluderer TLS mange forbedringer og fejlrettelser over SSL. SSL blev introduceret i begyndelsen af ​​1990'erne, og tre versioner kom op til SSL 3.0. Så i 1999 dukkede den næste version af SSL op under navnet TLS 1.0. I øjeblikket er den seneste version TLS 1.2. SSL, der er en gammel protokol, har en masse kendte sikkerhedsfejl og er derfor modtagelige for kendte angreb såsom POODLE-angreb. Den seneste version af TLS har rettelser til disse angreb, mens den også understøtter nye funktioner og algoritmer. Så for applikationer, der har brug for en bedre sikkerhed, anbefales den nyeste version af TLS snarere end at bruge gamle SSL-protokoller.

Billeder høflighed: 

  1. TLS af Jeffreytedjosukmono (CC BY-SA 3.0)