TLS vs SSL
Számos különbség van az SSL és a TLS között, mivel a TLS az SLS utódja, amelyek mindegyikéről lesz szó ebben a cikkben. Az SSL, amely a Secure Socket Layer-re utal, egy protokoll, amelyet a szerver és az ügyfél közötti kapcsolatok biztonságának biztosítására használnak. Ez a protokoll olyan biztonsági mechanizmusokat használ, mint a kriptográfia és a hash, hogy olyan biztonsági szolgáltatásokat nyújtson, mint a titkosság, az integritás és a végpont-hitelesítés a kiszolgáló és az ügyfél közötti kapcsolatokban. A TLS, amely a Transport Layer Securityre utal, az SSL utódja, amely hibajavításokat és fejlesztéseket tartalmaz az SSL-hez képest. A már kissé régi SSL-nek sok ismert biztonsági hibája van, ezért ajánlott a TLS legújabb verziója, azaz a TLS 1 használata.2. Az SSL elérte a 3.0-s verziót, majd ezt követően a név TLS-re változott.
Mi az SSL?
Az SSL, amely a Secure Socket Layer-re utal, egy protokoll, amely biztonságos kapcsolatot biztosít az ügyfél és a szerver között. A TCP-kapcsolat megbízható kapcsolatot biztosíthat a kiszolgáló és az ügyfél között, de nem nyújthat olyan szolgáltatásokat, mint a titoktartás, az integritás és a végpont-hitelesítés. Tehát az SSL-t a Netscape az 1990-es évek elején vezette be e szolgáltatások biztosítására. Az SSL első verziója, amely SSL 1.0 néven ismert, soha nem került nyilvánosságra, mivel számos biztonsági rést tartalmazott. 1995-ben azonban bevezették az SSL 2.0-t, amely jobb biztonságot nyújtott, mint az SSL 1.0, 1996-ban pedig az SSL 3.0-t további fejlesztésekkel. Az SSL protokoll következő verziói TLS néven jelentek meg.
Az SSL, amely a szállítási rétegben van megvalósítva, különféle biztonsági intézkedések alkalmazásával védhet egy protokollt, például a TCP-t. Titkosítással biztosítja a titkosságot, hogy megakadályozza, hogy bárki lehallgathassa. Aszimmetrikus és szimmetrikus titkosítást is használ. Először az aszimmetrikus kulcsú titkosítást használva egy szimmetrikus munkamenet kulcsot hozunk létre, amelyet azután a forgalom titkosítására használnak. Az aszimmetrikus kulcsú titkosítást a szerver hitelesítésére használt digitális tanúsítványokhoz is használják. Ezután az Üzenet hitelesítési kód, amely különféle kivonatolási technikákat használ, az integritás biztosítására (a valós adatokon végzett minden hitelesítés nélküli módosítás azonosítására) szolgál. Tehát egy olyan protokoll, mint az SSL, lehetővé teszi érzékeny információk, például banki tranzakciók és hitelkártyaadatok továbbítását az interneten keresztül. Ezenkívül az olyan szolgáltatások titkosságának biztosítására szolgál, mint az e-mail, webböngészés, üzenetküldés és IP-alapú hangátvitel.
Az SSL mára elavult, és számos biztonsági problémával rendelkezik, amelyek miatt jelenleg nem nagyon javasolt a használata. Az SSL 3.0 alapértelmezés szerint a közelmúltig sok böngészőben engedélyezve volt, de most azt tervezik, hogy letiltják a jövőbeli verziókban a súlyos biztonsági hibák, például a POODLE támadás miatt.
Mi az a TLS?
A TLS, amely a Transport Layer Securityre utal, az SSL utódja. Az SSL 3.0 után a következő verzió TLS 1.0 néven jelent meg 1999-ben, majd 2006-ban egy továbbfejlesztett verziót, a TLS 1.1-et vezették be. Aztán 2008-ban további fejlesztések és hibajavítások történtek, és bevezették a TLS 1.2-t. Jelenleg a TLS 1.2 a legújabb elérhető Transport Layer Security verzió. Az SSL-hez hasonlóan a TLS is biztosít biztonsági szolgáltatásokat, például bizalmasságot, integritást és végpont-hitelesítést. Hasonlóképpen titkosítást, üzenet-hitelesítési kódot és digitális tanúsítványokat használnak e biztonsági szolgáltatások biztosításához. A TLS immunis az olyan támadásokkal szemben, mint például a POODLE támadás, amely veszélyeztette az SSL 3.0 biztonságát.
Az ajánlott a legújabb TLS-verzió, a TLS 1.2 használata, mivel ez a legfrissebb, ennek van a legkevesebb biztonsági hibája. Bármelyik biztonsági rendszer sem tökéletes, és idővel hibákat észlelnek, és a jövőben megjelenik a TLS 1.3-as verziója, amely kijavítja az észlelt hibákat. Jelenleg azonban a TLS 1.2 a legbiztonságosabb, és az összes főbb böngészőben ez alapértelmezés szerint engedélyezve van.
Mi a különbség az SSL és a TLS között?
• A TLS az SLS utódja. Az SLS-t az 1990-es években vezették be, és három verziója jelent meg, mégpedig az SSL 1.0, SSL 2.0 és SSL 3.0. Ezt követően, 1999-ben, az SSL következő verziója a TLS 1.0 nevet kapta. Ezután bevezették a TLS 1.1-et, a jelenlegi legújabb verzió pedig a TLS 1.2.
• Az SSL-ben sok hiba található, és érzékeny az ismert támadásokra, mint a TLS. A legújabb TLS-verziókban a legtöbb hiba ki lett javítva, ezért immunis a támadásokra.
• A TLS az SSL-hez képest új funkciókkal és új algoritmusokkal rendelkezik.
• A POODLE támadásnak nevezett támadással az SSL használata most nagyon sebezhetővé vált, és a webböngészők új verzióiban az SSL alapértelmezés szerint le lesz tiltva. A TLS azonban minden böngészőben alapértelmezés szerint engedélyezve van.
• A TLS támogatja az olyan új hitelesítési és kulcscsere algoritmusokat, mint az ECDH-RSA, ECDH-ECDSA, PSK és SRP.
• Az üzenet-hitelesítési kód algoritmus-csomagok, például a HMAC-SHA256/384 és az AEAD elérhetők a legújabb TLS-verziókban, de SSL-ben nem.
• Az SSL-t a Netscape alatt fejlesztették ki és szerkesztették. A TLS azonban szabványos protokollként az Internet Engineering Task Force alá tartozik, ezért elérhető az RFC alatt.
• Különbségek vannak a protokoll megvalósításában, például a kulcscserében és a kulcsok levezetésében.
Összefoglaló:
TLS vs SSL
A TLS az SSL utódja, ezért a TLS számos fejlesztést és hibajavítást tartalmaz az SSL-hez képest. Az SSL-t az 1990-es évek elején vezették be, és három verziója jelent meg az SSL 3.0-hoz. Aztán 1999-ben megjelent az SSL következő verziója TLS 1.0 néven. Jelenleg a legújabb verzió a TLS 1.2. Mivel az SSL egy régi protokoll, számos ismert biztonsági hibát tartalmaz, ezért érzékeny az ismert támadásokra, például a POODLE támadásra. A TLS legújabb verziója javítja ezeket a támadásokat, miközben új funkciókat és algoritmusokat is támogat. Tehát a nagyobb biztonságot igénylő alkalmazások számára a TLS legújabb verziója javasolt a régi SSL protokollok használata helyett.