SSL i TLS

Ostatnio możesz słyszeć coraz więcej o SSL i TLS w wiadomościach. Terminy te są używane przez firmy takie jak Google, aby uświadomić większej liczbie osób ich znaczenie podczas przeglądania stron internetowych (mówię o tobie, Chrome).

Istnieje wyraźne rozróżnienie pomiędzy SSL a TLS. Dwa protokoły szyfrują dane przesyłane przez Internet. Protokoły te są celami dla kryptografów, ekspertów ds. bezpieczeństwa sieci i programistów, którzy chcą ustanowić szyfrowane połączenia między serwerem internetowym a przeglądarkami.

Czym są SSL i TLS?

Bezpieczne połączenie jest szyfrowane. Szyfrowanie chroni dane, które wysyłasz i odbierasz, tak że nikt inny nie może ich odczytać.

Istnieją dwa rodzaje szyfrowania: SSL i TLS. Każdy z nich ma swoje wady i zalety, ale oba zapewniają bezpieczne połączenie.

SSL, czyli Transport Layer Security, to protokół kryptograficzny, który zapewnia bezpieczeństwo komunikacji w sieci komputerowej. Chroni on integralność i poufność danych poprzez zastosowanie szyfrowania.

TLS, czyli Transport Layer Security, to standard bezpiecznej komunikacji przez internet. Pozwala on aplikacjom klient/serwer komunikować się przez sieć w sposób mający zapobiegać podsłuchiwaniu i manipulowaniu informacjami.

Dlaczego potrzebujesz certyfikatu SSL/TLS?

Certyfikaty SSL/TLS szyfrują dane przesyłane pomiędzy Twoją witryną a użytkownikami. Wszelkie informacje przesyłane przez użytkowników są bezpieczne i nie są widoczne dla innych. Jest to istotne dla ochrony wrażliwych informacji, takich jak numery kart kredytowych, hasła i inne dane.

Bez certyfikatu SSL/TLS każdy, kto znajduje się w tej samej sieci co Twoja strona internetowa, może przechwycić ruch pomiędzy Twoim serwerem a przeglądarkami Twoich użytkowników. Dzięki temu może zobaczyć wszystkie wymieniane informacje, a nawet zmienić je przed wysłaniem.

Różnica między SSL a TLS

TLS i SSL zapewniają bezpieczne uwierzytelnianie i przesyłanie danych przez Internet. Czym jednak różnią się od siebie TLS i SSL? Czy trzeba się tym przejmować?

SSL

TLS

SSL to skrót od Secure Sockets Layer,  TLS to skrót od Transport Layer Security.
Netscape stworzył SSL w 1995 roku. Internet Engineering Taskforce (IETF) opracowała TLS po raz pierwszy w 1999 roku.
Posiada trzy wersje:

  • SSL 1.0
  • SSL 2.0,
  • SSL 3.0.
Posiada cztery wersje:

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
  • TLS 1.3
We wszystkich wersjach SSL znaleziono luki i wszystkie zostały zdeprecjonowane.  Od marca 2020 roku TLS 1.0 i 1.1 nie będą już wspierane.

W większości przypadków stosowany jest protokół TLS 1.2.

Serwer internetowy i klient komunikują się bezpiecznie za pomocą SSL, protokołu kryptograficznego, który wykorzystuje jawne połączenia. Za pomocą TLS serwer WWW i klient mogą się bezpiecznie komunikować za pomocą niejawnych połączeń. TLS zastąpił SSL.

Niektóre inne główne różnice w działaniu SL i TLS są następujące:

Uwierzytelnianie komunikatów

Podstawową różnicą pomiędzy SSL a TLS jest uwierzytelnianie wiadomości. SSL używa kodów uwierzytelniania wiadomości (MAC), aby zapewnić, że wiadomości nie są manipulowane podczas transmisji. TLS nie używa MAC do ochrony, ale zamiast tego polega na innych środkach, takich jak szyfrowanie, aby zapobiec manipulacjom.

Protokół zapisu

Protokół Rekord jest sposobem przenoszenia danych przez bezpieczny kanał komunikacyjny zarówno w TLS, jak i SSL, ale ma kilka drobnych różnic. W TLS, tylko jeden rekord może być brany na pakiet, podczas gdy w SSL, wiele rekordów może być przenoszonych na pakiet (choć to było rzadko implementowane).

Dodatkowo, niektóre funkcje w protokole Record TLS nie są zawarte w SSL, takie jak opcje kompresji i paddingu.

Szyfry

TLS obsługuje różne zestawy szyfrów, które są algorytmami używanymi do szyfrowania i deszyfrowania. Najbardziej znanym pakietem szyfrów jest efemeryczna wymiana kluczy Diffie-Hellmana (DHE) oparta na krzywych eliptycznych, która zapewnia idealną tajemnicę przednią (PFS) i może być używana z kluczami o dowolnej długości. Kilka innych pakietów szyfrów wspiera PFS, ale są mniej powszechnie stosowane. SSL obsługuje tylko jeden zestaw szyfrów z PFS, który wykorzystuje 1024-bitowy klucz RSA.

Komunikaty ostrzegawcze

Protokół SSL wykorzystuje komunikaty ostrzegawcze do informowania klienta lub serwera o określonym błędzie podczas komunikacji. Protokół TLS nie posiada żadnego równoważnego mechanizmu.

W skrócie, SSL nie jest już w użyciu, a TLS to nowy termin dla przestarzałego protokołu SSL jako aktualnego standardu szyfrowania używanego przez wszystkich. Chociaż TLS jest technicznie bardziej dokładny, SSL jest szeroko stosowany.

Dlaczego TLS zastąpił SSL?

Aby chronić aplikacje online lub dane w tranzycie przed podsłuchem i zmianą, szyfrowanie TLS jest obecnie rutynową procedurą. TLS był podatny na naruszenia takie jak Crime i Heartbleed w 2012 i 2014 roku. Chociaż wykazał znaczny postęp w zakresie wydajności i bezpieczeństwa, nierealistyczne jest przekonanie, że jest to najbardziej bezpieczny protokół.

Christopher Allen i Tim Dierks z firmy Consensus Development stworzyli protokół TLS 1.0, będący ulepszeniem SSL 3.0.

Mimo, że zmiana nazwy sugeruje znaczną różnicę między nimi, nie było ich wiele.

Według Dierks, Microsoft zmienił swoją nazwę, aby zachować twarz. Stwierdził on:

Aby nie sprawiać wrażenia, że IETF popiera protokół Netscape'a, musieliśmy zmienić nazwę SSL 3.0 jako część horsetradingu (z tego samego powodu). I tak powstał TLS 1.0 (który był SSL 3.1). Oczywiście, patrząc wstecz, cała sytuacja wydaje się śmieszna.

SSL jest zastępowany przez TLS, a praktycznie wszystkie wersje SSL zostały uznane za przestarzałe ze względu na udokumentowane błędy bezpieczeństwa. Jednym z przykładów jest Google Chrome, który przestał używać SSL 3.0 w 2014 roku. Większość współczesnych przeglądarek internetowych w ogóle nie obsługuje SSL.

Dlaczego warto wymienić certyfikaty SSL na certyfikaty TLS?

Głównym powodem wymiany istniejących certyfikatów SSL na nowe certyfikaty TLS jest to, że są one niekompatybilne ze sobą - używają różnych protokołów i algorytmów. Oznacza to, że każda przeglądarka lub aplikacja kliencka, która używa jednego protokołu nie będzie w stanie bezpiecznie połączyć się z serwerem używającym drugiego protokołu bez wyraźnych zmian konfiguracyjnych po obu stronach połączenia.

Słowa końcowe

Zarówno certyfikaty SSL jak i TLS pełnią tę samą funkcję szyfrowania przepływu danych, jeśli je porównamy. Ulepszoną i bardziej bezpieczną wersją SSL był TLS. Jednak certyfikaty SSL, które są powszechnie dostępne w Internecie, mają tę samą funkcję ochrony Twojej strony internetowej. W rzeczywistości oba zapewniają pasek adresu HTTPS, który został uznany za wyróżnik bezpieczeństwa online.

Podczas gdy SSL i TLS zabezpieczają Twoją stronę przed nieautoryzowanym użyciem, DMARC chroni Twoją domenę e-mail przed podszywaniem się pod nią. DMARC to standard uwierzytelniania poczty elektronicznej, który umożliwia podjęcie działań przeciwko wiadomościom e-mail wysyłanym z nieautoryzowanych źródeł, które podszywają się pod nazwę Twojej domeny.

Rozpoczęcie drogi do egzekwowania DMARC z PowerDMARC pozwoli Ci w pełni zarządzać Twoją domeną, uzyskać widoczność kanałów emailowych w najszybszym rynkowym tempie i bezpiecznie przejść na bardziej restrykcyjne zasady!