SSL og TLS

Du har kanskje hørt mer og mer om SSL og TLS i nyhetene i det siste. Disse begrepene brukes av selskaper som Google for å gjøre flere oppmerksomme på betydningen deres når de surfer (jeg snakker om deg, Chrome).

Det er et markant skille mellom SSL og TLS. To protokoller krypterer data sendt over Internett. Disse protokollene er mål for kryptografer, nettverkssikkerhetseksperter og utviklere som ønsker å etablere krypterte koblinger mellom en nettserver og nettlesere.

Hva er SSL og TLS?

En sikker tilkobling er kryptert. Krypteringen beskytter dataene du sender og mottar, slik at andre ikke kan lese dem.

Det finnes to typer kryptering: SSL og TLS. Hver har sine fordeler og ulemper, men begge gir en sikker tilkobling.

SSL, eller Transport Layer Security, er en kryptografisk protokoll som gir kommunikasjonssikkerhet over et datanettverk. Den beskytter integriteten og konfidensialiteten til data ved å bruke kryptering.

TLS, eller Transport Layer Security, er en standard for sikker kommunikasjon over internett. Den lar klient/server-applikasjoner kommunisere over et nettverk på en måte som er utformet for å forhindre avlytting og tukling med informasjon.

Hvorfor trenger du et SSL/TLS-sertifikat?

SSL/TLS-sertifikater krypterer data som sendes mellom nettstedet ditt og brukerne dine. All informasjon du sender er sikker og ikke synlig for andre. Dette er viktig for å beskytte sensitiv informasjon som kredittkortnumre, passord og andre data.

Uten et SSL/TLS-sertifikat kan alle på samme nettverk som nettstedet ditt fange opp trafikken mellom serveren og brukerens nettlesere. Dette kan tillate dem å se all informasjonen som utveksles og til og med endre den før du sender den på veien.

Forskjellen mellom SSL og TLS

TLS og SSL gir sikker autentisering og dataoverføring over Internett. Men hvordan skiller TLS og SSL seg fra hverandre? Trenger du å bekymre deg for det?

SSL

TLS

SSL står for Secure Sockets Layer,  TLS står for Transport Layer Security.
Netscape opprettet SSL i 1995. Internet Engineering Taskforce (IETF) utviklet TLS for første gang i 1999.
Har tre versjoner:

  • SSL 1.0
  • SSL 2.0,
  • SSL 3.0.
Har fire versjoner:

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
  • TLS 1.3
I alle versjoner av SSL er det funnet sårbarheter, og alle er avviklet.  Fra mars 2020 og fremover vil ikke lenger TLS 1.0 og 1.1 støttes.

I de fleste tilfeller brukes TLS 1.2.

En webserver og klient kommuniserer sikkert ved hjelp av SSL, en kryptografisk protokoll som bruker eksplisitte tilkoblinger. Ved å bruke TLS kan webserveren og klienten kommunisere sikkert via implisitte tilkoblinger. TLS har erstattet SSL.

Noen andre store forskjeller i arbeidet med SL og TLS er som følger:

Meldingsautentisering

En primær forskjell mellom SSL og TLS er meldingsautentisering. SSL bruker meldingsautentiseringskoder (MAC) for å sikre at meldinger ikke tukles med under overføring. TLS bruker ikke MAC-er for beskyttelse, men er avhengig av andre midler, for eksempel kryptering, for å forhindre tukling.

Record Protocol

Record Protocol er hvordan data overføres over en sikker kommunikasjonskanal i både TLS og SSL, men den har noen mindre forskjeller. I TLS kan bare én post tas per pakke, mens i SSL kan flere poster bæres per pakke (selv om dette sjelden ble implementert).

I tillegg er enkelte funksjoner i Record Protocol til TLS ikke inkludert i SSL, for eksempel komprimerings- og polstringsalternativer.

Cipher Suites

TLS støtter ulike chiffersuiter, som er algoritmer som brukes for kryptering og dekryptering. Den mest kjente chiffersuiten er den flyktige Diffie-Hellman (DHE) nøkkelutvekslingen basert på elliptiske kurver, som gir perfekt fremadrettet hemmelighold (PFS) og kan brukes med hvilken som helst nøkkellengde. Noen få andre chiffersuiter støtter PFS, men er mindre utbredt. SSL støtter bare én chifferpakke med PFS, som bruker en 1024-bits RSA-nøkkel.

Varslingsmeldinger

SSL-protokollen bruker varselmeldinger for å informere klienten eller serveren om en spesifikk feil under kommunikasjon. TLS-protokollen har ingen tilsvarende mekanisme.

I et nøtteskall er SSL ikke lenger i bruk, og TLS er den nye betegnelsen for den foreldede SSL-protokollen som en gjeldende krypteringsstandard som brukes av alle. Selv om TLS er teknisk mer nøyaktig, er SSL mye brukt.

Hvorfor erstattet TLS SSL?

For å beskytte nettbaserte applikasjoner eller data under transport mot avlytting og endring, er TLS-kryptering nå en rutineprosedyre. TLS har vært sårbar for brudd som Crime og Heartbleed i 2012 og 2014. Selv om det har vist betydelige fremskritt innen effektivitet og sikkerhet, er det urealistisk å tro at det er den sikreste protokollen.

Christopher Allen og Tim Dierks fra Consensus Development laget TLS 1.0-protokollen, en forbedring av SSL 3.0.

Selv om navneendringen innebærer en betydelig forskjell mellom de to, var det ikke mange.

Ifølge Dierks skiftet Microsoft navn for å redde ansikt. Han uttalte:

For å unngå å gi inntrykk av at IETF støttet Netscapes protokoll, måtte vi rebrande SSL 3.0 som en del av hestehandelen (av samme grunn). Og så ble TLS 1.0 opprettet (som var SSL 3.1). Selvfølgelig, ser tilbake, virker hele situasjonen latterlig.

SSL blir erstattet med TLS, og praktisk talt alle SSL-versjoner har blitt ansett som foreldet på grunn av dokumenterte sikkerhetsfeil. Et eksempel er Google Chrome, som sluttet å bruke SSL 3.0 i 2014. Flertallet av moderne nettlesere støtter ikke SSL i det hele tatt.

Hvorfor erstatte SSL-sertifikatene dine med TLS-sertifikater?

Hovedårsaken til å erstatte dine eksisterende SSL-sertifikater med nye TLS-sertifikater er at de er inkompatible med hverandre - de bruker forskjellige protokoller og algoritmer. Dette betyr at en hvilken som helst nettleser eller klientapplikasjon som bruker én protokoll, ikke vil kunne koble seg sikkert til en server som bruker den andre protokollen uten at det gjøres eksplisitte konfigurasjonsendringer på begge sider av tilkoblingen.

Siste ord

Både SSL- og TLS-sertifikater gir samme funksjon som kryptering av dataflyt hvis du sammenligner dem. En forbedret og sikrere versjon av SSL var TLS. SSL-sertifikater, som er allment tilgjengelige på nettet, har imidlertid samme funksjon som å beskytte nettstedet ditt. I virkeligheten gir de begge HTTPS-adresselinjen, som har blitt anerkjent som kjennetegn ved nettsikkerhet.

Mens SSL og TLS beskytter nettstedet ditt mot uautorisert bruk, beskytter DMARC e-postdomenet ditt mot etterligning. DMARC er en standard for e-postautentisering som lar deg iverksette tiltak mot e-poster sendt fra uautoriserte kilder som utgir seg for å være domenenavnet ditt.

Å begynne veien mot DMARC-håndhevelse med PowerDMARC vil tillate deg å styre domenet ditt fullt ut, skaffe deg synlighet på e-postkanalene dine til den raskeste markedshastigheten, og trygt gå over til strengere retningslinjer!

Siste innlegg av Ahona Rudra ( se alle )