TLS срещу SSL
Има редица разлики между SSL и TLS, тъй като TLS е наследник на SLS, всички от които ще бъдат обсъдени в тази статия. SSL, който се отнася до Secure Socket Layer, е протокол, използван за осигуряване на сигурност на връзките между сървър и клиент. Този протокол използва механизми за сигурност като криптография и хеширане, за да предостави услуги за сигурност като поверителност, интегритет и удостоверяване на крайна точка на връзките между сървър и клиент. TLS, който се отнася до сигурността на транспортния слой, е наследник на SSL, който включва корекции на грешки и подобрения спрямо SSL. SSL, който сега е малко остарял, има много известни грешки в сигурността и следователно това, което се препоръчва да се използва, е най-новата версия на TLS, която е TLS 1.2. SSL достигна до версии 3.0 и след това името беше променено на TLS.
Какво е SSL?
SSL, който се отнася до Secure Socket Layer, е протокол, използван за осигуряване на сигурни връзки между клиент и сървър. TCP връзката може да осигури надеждна връзка между сървър и клиент, но не може да предостави услуги като поверителност, цялост и удостоверяване на крайна точка. И така, SSL беше въведен от Netscape в началото на 90-те години, за да предостави тези услуги. Първата версия на SSL, която е известна като SSL 1.0, никога не е била пусната за обществеността, тъй като имаше много дупки в сигурността. Въпреки това през 1995 г. беше въведен SSL 2.0, който осигуряваше по-добра сигурност от SSL 1.0, а през 1996 г. беше въведен SSL 3.0 с повече подобрения. Следващите версии на SSL протокола се появяват под името TLS.
SSL, който е внедрен в транспортния слой, може да защити протокол като TCP чрез прилагане на различни мерки за сигурност. Той ще осигури поверителност чрез използване на криптиране, за да предотврати подслушването на никого. Той използва както асиметрично, така и симетрично криптиране. Първо, използвайки криптиране с асиметричен ключ, се установява симетричен сесиен ключ, който след това ще се използва за криптиране на трафика. Криптографията с асиметричен ключ се използва и за цифрови сертификати, използвани за удостоверяване на сървъра. След това кодът за удостоверяване на съобщението, който използва различни техники за хеширане, се използва за осигуряване на цялост (идентифициране на всяка неудостоверена модификация, извършена на реалните данни). Така че протокол като SSL позволява предаване на чувствителна информация като банкови транзакции и информация за кредитни карти по интернет. Също така се използва за осигуряване на поверителност за услуги като имейл, уеб сърфиране, съобщения и глас по IP.
SSL вече е остарял и има много проблеми със сигурността, при които използването му в момента не се препоръчва много. SSL 3.0 беше активиран по подразбиране доскоро в много браузъри, но сега те планират да го деактивират в бъдещите версии поради сериозни грешки в сигурността, като POODLE атака.
Какво е TLS?
TLS, който се отнася до сигурността на транспортния слой, е наследник на SSL. След SSL 3.0, следващата версия се появи като TLS 1.0 през 1999 г. След това, през 2006 г., беше представена подобрена версия, наречена TLS 1.1. След това, през 2008 г., бяха направени допълнителни подобрения и корекции на грешки и беше въведен TLS 1.2. В момента TLS 1.2 е най-новата налична версия за защита на транспортния слой. Точно като SSL, TLS също предоставя услуги за сигурност като поверителност, цялост и удостоверяване на крайна точка. По същия начин криптиране, код за удостоверяване на съобщения и цифрови сертификати се използват за предоставяне на тези услуги за сигурност. TLS е имунизиран срещу атаки като POODLE атака, която компрометира сигурността на SSL 3.0.
Препоръката е да използвате най-новата TLS версия, TLS 1.2, тъй като тя е най-новата и има най-малко пропуски в сигурността. Всяка система за сигурност не е перфектна и с времето ще бъдат открити пропуски и в бъдеще ще бъде пусната TLS версия 1.3, която ще коригира тези открити грешки. Понастоящем обаче TLS 1.2 е най-сигурният и във всички основни браузъри това е активирано по подразбиране.
Каква е разликата между SSL и TLS?
• TLS е наследник на SLS. SLS беше въведен през 1990 г. и бяха въведени три версии, а именно SSL 1.0, SSL 2.0 и SSL 3.0. След това през 1999 г. следващата версия на SSL беше наречена TLS 1.0. След това беше въведен TLS 1.1 и текущата последна версия е TLS 1.2.
• SSL има много грешки и е податлив на известни атаки от TLS. В най-новите версии на TLS повечето грешки са коригирани и следователно е имунизиран срещу атаки.
• TLS има нови функции и поддържа нови алгоритми в сравнение със SSL.
• С атаката, наречена POODLE атака, сега използването на SSL стана много уязвимо и в новите версии на уеб браузърите SSL ще бъде деактивиран по подразбиране. Във всички браузъри обаче TLS е активиран по подразбиране.
• TLS поддържа нови пакети алгоритми за удостоверяване и обмен на ключове като ECDH-RSA, ECDH-ECDSA, PSK и SRP.
• Пакетите алгоритъм за код за удостоверяване на съобщения като HMAC-SHA256/384 и AEAD са налични в най-новите TLS версии, но не и в SSL.
• SSL е разработен и редактиран под Netscape. Въпреки това, TLS е в рамките на Internet Engineering Task Force като стандартен протокол и следователно е наличен в RFC.
• Има разлики в изпълнението на протокола, като например обмен на ключове и извличане на ключове.
Резюме:
TLS срещу SSL
TLS е наследник на SSL и следователно TLS включва много подобрения и корекции на грешки спрямо SSL. SSL беше въведен в началото на 90-те години и три версии достигнаха до SSL 3.0. След това през 1999 г. се появява следващата версия на SSL под името TLS 1.0. В момента най-новата версия е TLS 1.2. Тъй като SSL е стар протокол, има много известни грешки в сигурността и следователно е податлив на известни атаки като POODLE атака. Последната версия на TLS има корекции на тези атаки, като същевременно поддържа нови функции и алгоритми. Така че за приложения, които се нуждаят от по-добра сигурност, се препоръчва най-новата версия на TLS, вместо да се използват стари SSL протоколи.