SSL og TLS

Du har måske hørt mere og mere om SSL og TLS i nyhederne på det seneste. Disse udtryk bliver brugt af virksomheder som Google for at gøre flere mennesker opmærksomme på deres betydning, når de surfer (jeg taler om dig, Chrome).

Der er en tydelig forskel mellem SSL og TLS. To protokoller krypterer data, der sendes via internettet. Disse protokoller er mål for kryptografer, eksperter i netværkssikkerhed og udviklere, der ønsker at etablere krypterede forbindelser mellem en webserver og browsere.

Hvad er SSL og TLS?

En sikker forbindelse er krypteret. Krypteringen beskytter de data, du sender og modtager, så andre ikke kan læse dem.

Der findes to typer kryptering: Der findes to typer af kryptering: SSL og TLS. Hver har sine fordele og ulemper, men begge giver en sikker forbindelse.

SSL, eller Transport Layer Security, er en kryptografisk protokol, der giver kommunikationssikkerhed over et computernetværk. Den beskytter dataenes integritet og fortrolighed ved hjælp af kryptering.

TLS, eller Transport Layer Security, er en standard for sikker kommunikation over internettet. Den gør det muligt for klient/server-programmer at kommunikere over et netværk på en måde, der er designet til at forhindre aflytning og manipulation af oplysninger.

Hvorfor har du brug for et SSL/TLS certifikat?

SSL/TLS-certifikater krypterer data, der sendes mellem dit websted og dine brugere. Alle oplysninger, du sender, er sikre og ikke synlige for andre. Dette er vigtigt for at beskytte følsomme oplysninger som f.eks. kreditkortnumre, adgangskoder og andre data.

Uden et SSL/TLS certifikat kan alle på det samme netværk som dit websted opsnappe trafikken mellem din server og dine brugeres webbrowsere. Dette kan give dem mulighed for at se alle de oplysninger, der udveksles, og endda ændre dem, inden de sendes videre.

Forskellen mellem SSL og TLS

TLS og SSL giver sikker autentificering og dataoverførsel via internettet. Men hvordan adskiller TLS og SSL sig fra hinanden? Behøver du at være bekymret for det?

SSL

TLS

SSL står for Secure Sockets Layer,  TLS står for Transport Layer Security.
Netscape skabte SSL i 1995. Internet Engineering Taskforce (IETF) udviklede TLS for første gang i 1999.
Har tre versioner:

  • SSL 1.0
  • SSL 2.0,
  • SSL 3.0.
Har fire versioner:

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
  • TLS 1.3
Der er fundet sårbarheder i alle versioner af SSL, og alle er blevet forældet.  Fra marts 2020 og fremefter vil TLS 1.0 og 1.1 ikke længere blive understøttet.

I de fleste tilfælde anvendes TLS 1.2.

En webserver og en klient kommunikerer sikkert ved hjælp af SSL, en kryptografisk protokol, der anvender eksplicitte forbindelser. Ved hjælp af TLS kan webserveren og klienten kommunikere sikkert via implicitte forbindelser. TLS har erstattet SSL.

Der er følgende andre væsentlige forskelle i SL og TLS' funktion:

Godkendelse af meddelelser

Den primære forskel mellem SSL og TLS er autentificering af meddelelser. SSL anvender MAC-koder (Message Authentication Codes) for at sikre, at meddelelser ikke forfalskes under transmissionen. TLS bruger ikke MAC-koder til beskyttelse, men er i stedet afhængig af andre midler, f.eks. kryptering, til at forhindre manipulation.

Protokol til registrering

Record Protocol er den måde, hvorpå data overføres via en sikker kommunikationskanal i både TLS og SSL, men der er nogle mindre forskelle. I TLS kan der kun medtages én record pr. pakke, mens der i SSL kan medtages flere records pr. pakke (dette er dog sjældent blevet implementeret).

Desuden er nogle funktioner i Record Protocol of TLS ikke inkluderet i SSL, f.eks. komprimering og padding-muligheder.

Cipher Suites

TLS understøtter forskellige cipher suites, som er algoritmer, der bruges til kryptering og dekryptering. Den bedst kendte cifferpakke er den ephemerale Diffie-Hellman-nøgleudveksling (DHE) baseret på elliptiske kurver, som giver perfekt forward secrecy (PFS) og kan bruges med en hvilken som helst nøglelængde. Nogle få andre cipher suites understøtter PFS, men er mindre udbredte. SSL understøtter kun én cipher suite med PFS, som bruger en 1024-bit RSA-nøgle.

Advarselsmeddelelser

SSL-protokollen bruger advarselsmeddelelser til at informere klienten eller serveren om en specifik fejl under kommunikationen. TLS-protokollen har ikke nogen tilsvarende mekanisme.

Kort sagt er SSL ikke længere i brug, og TLS er den nye betegnelse for den forældede SSL-protokol som en nuværende krypteringsstandard, der anvendes af alle. Selv om TLS teknisk set er mere korrekt, anvendes SSL i vid udstrækning.

Hvorfor erstattede TLS SSL?

TLS-kryptering er nu en rutineprocedure for at beskytte onlineapplikationer eller data under overførsel mod aflytning og ændring. TLS har været sårbar over for brud som Crime og Heartbleed i 2012 og 2014. Selv om den har vist betydelige fremskridt med hensyn til effektivitet og sikkerhed, er det urealistisk at tro, at den er den mest sikre protokol.

Christopher Allen og Tim Dierks fra Consensus Development skabte TLS 1.0-protokollen, som er en forbedring af SSL 3.0.

Selv om navneændringen indebærer en væsentlig forskel mellem de to, var der ikke mange forskelle.

I henhold til Dierkshar Microsoft ændret sit navn for at redde ansigt. Han udtalte:

For at undgå at give indtryk af, at IETF støttede Netscapes protokol, måtte vi omdøbe SSL 3.0 som en del af denne omlægning (af samme grund). Og så blev TLS 1.0 skabt (som var SSL 3.1). Set i bakspejlet virker hele situationen naturligvis latterlig.

SSL er ved at blive erstattet af TLS, og praktisk talt alle SSL-versioner er blevet anset for forældede på grund af dokumenterede sikkerhedshuller. Et eksempel er Google Chrome, som ophørte med at bruge SSL 3.0 i 2014. De fleste moderne onlinebrowsere understøtter slet ikke SSL.

Hvorfor udskifte dine SSL-certifikater med TLS-certifikater?

Hovedårsagen til at udskifte din eksisterende SSL-certifikater med nye TLS-certifikater er, at de er inkompatible med hinanden - de bruger forskellige protokoller og algoritmer. Det betyder, at en browser eller et klientprogram, der anvender den ene protokol, ikke kan oprette sikker forbindelse til en server, der anvender den anden protokol, uden at der foretages eksplicitte konfigurationsændringer på begge sider af forbindelsen.

Sidste ord

Både SSL- og TLS-certifikater har den samme funktion, nemlig at kryptere datastrømmen, hvis du sammenligner dem. TLS var en forbedret og mere sikker version af SSL. SSL-certifikater, som er bredt tilgængelige online, har dog den samme funktion, nemlig at beskytte dit websted. I virkeligheden giver de begge den HTTPS-adressebjælke, som efterhånden er blevet anerkendt som det kendetegn, der kendetegner online-sikkerhed.

Mens SSL og TLS beskytter dit websted mod uautoriseret brug, DMARC dit e-mail-domæne mod efterligning. DMARC er en standard for e-mail-godkendelse, der gør det muligt for dig at gribe ind over for e-mails sendt fra uautoriserede kilder, der udgiver sig for at være dit domænenavn.

Begynd din vej mod DMARC-håndhævelse med PowerDMARC vil give dig mulighed for at styre dit domæne fuldt ud, opnå synlighed på dine e-mail-kanaler til den hurtigste markedspris og sikkert overgå til strengere politikker!

Nyeste indlæg af Ahona Rudra (se alle)