SSL och TLS

Du har kanske hört mer och mer om SSL och TLS i nyheterna den senaste tiden. Dessa termer används av företag som Google för att göra fler människor medvetna om hur viktiga de är när du surfar (jag talar om dig, Chrome).

Det finns en tydlig skillnad mellan SSL och TLS. Dessa två protokoll krypterar data som skickas över Internet. Dessa protokoll är mål för kryptografer, nätverkssäkerhetsexperter och utvecklare som vill upprätta krypterade länkar mellan en webbserver och webbläsare.

Vad är SSL och TLS?

En säker anslutning är krypterad. Krypteringen skyddar de data du skickar och tar emot så att ingen annan kan läsa dem.

Det finns två typer av kryptering: Det finns två typer av kryptering: SSL och TLS. Var och en har sina för- och nackdelar, men båda ger en säker anslutning.

SSL, eller Transport Layer Security, är ett kryptografiskt protokoll skrivet i C som ger kommunikationssäkerhet över ett datornätverk. Det skyddar dators integritet och konfidentialitet med hjälp av kryptering.

TLS (Transport Layer Security) är en standard för säker kommunikation på internet. Den gör det möjligt för klient/server-program att kommunicera över ett nätverk på ett sätt som är utformat för att förhindra avlyssning och manipulering av information.

Varför behöver du ett SSL/TLS-certifikat?

SSL/TLS-certifikat krypterar data som skickas mellan din webbplats och dina användare. All information som du skickar är säker och inte synlig för andra. Detta är viktigt för att skydda känslig information som kreditkortsnummer, lösenord och andra uppgifter.

Utan ett SSL/TLS-certifikat kan vem som helst i samma nätverk som din webbplats avlyssna trafiken mellan din server och dina användares webbläsare. På så sätt kan de se all information som utbyts och till och med ändra den innan den skickas vidare.

Skillnaden mellan SSL och TLS

TLS och SSL ger säker autentisering och dataöverföring över Internet. Men hur skiljer sig TLS och SSL från varandra? Behöver du oroa dig för det?

SSL

TLS

SSL står för Secure Sockets Layer,  TLS står för Transport Layer Security.
Netscape skapade SSL 1995. Internet Engineering Taskforce (IETF) utvecklade TLS för första gången 1999.
Finns i tre versioner:

  • SSL 1.0
  • SSL 2.0,
  • SSL 3.0.
Har fyra versioner:

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
  • TLS 1.3
Sårbarheter har hittats i alla versioner av SSL, och alla har avvecklats.  Från och med mars 2020 kommer TLS 1.0 och 1.1 inte längre att stödjas.

I de flesta fall används TLS 1.2.

En webbserver och en klient kommunicerar säkert med hjälp av SSL, ett kryptografiskt protokoll som använder explicita anslutningar. Med TLS kan webbservern och klienten kommunicera säkert via implicita anslutningar. TLS har ersatt SSL.

Några andra viktiga skillnader i SL:s och TLS:s funktionssätt är följande:

Autentisering av meddelanden

En viktig skillnad mellan SSL och TLS är autentisering av meddelanden. SSL använder MAC-koder (Message Authentication Codes) för att säkerställa att meddelanden inte manipuleras under överföringen. TLS använder inte MAC-koder som skydd utan förlitar sig på andra metoder, t.ex. kryptering, för att förhindra manipulering.

Protokoll för registrering

Record Protocol är det sätt på vilket data överförs via en säker kommunikationskanal i både TLS och SSL, men det finns några mindre skillnader. I TLS kan endast en post tas med per paket, medan flera poster kan tas med per paket i SSL (även om detta sällan har genomförts).

Dessutom ingår vissa funktioner i TLS Record Protocol inte i SSL, t.ex. komprimering och stoppningsalternativ.

Chiffersekvenser

TLS har stöd för olika chifferuppsättningar, som är algoritmer som används för kryptering och dekryptering. Den mest kända chifferuppsättningen är den efemära Diffie-Hellman-nyckelutbytet (DHE) baserat på elliptiska kurvor, som ger perfekt sekretess framåt (PFS) och kan användas med vilken nyckellängd som helst. Ett fåtal andra chifferuppsättningar har stöd för PFS, men används i mindre utsträckning. SSL stöder endast en chifferföljd med PFS, som använder en 1024-bitars RSA-nyckel.

Varningsmeddelanden

SSL-protokollet använder varningsmeddelanden för att informera klienten eller servern om ett specifikt fel under kommunikationen. TLS-protokollet har ingen motsvarande mekanism.

I ett nötskal kan man säga att SSL inte längre används, och TLS är den nya termen för det föråldrade SSL-protokollet som en aktuell krypteringsstandard som används av alla. Även om TLS tekniskt sett är mer korrekt används SSL i stor utsträckning.

Varför ersatte TLS SSL?

TLS-kryptering är numera ett rutinförfarande för att skydda onlineapplikationer eller data under överföring från avlyssning och ändring. TLS har varit sårbart för brott som Crime och Heartbleed 2012 och 2014. Även om det har visat betydande framsteg i effektivitet och säkerhet är det orealistiskt att tro att det är det säkraste protokollet.

Christopher Allen och Tim Dierks från Consensus Development skapade TLS 1.0-protokollet, en förbättring av SSL 3.0.

Även om namnbytet innebär en betydande skillnad mellan de två, var det inte många.

Enligt Dierksändrade Microsoft sitt namn för att rädda ansiktet. Han förklarade:

För att undvika att ge intryck av att IETF stödde Netscapes protokoll var vi tvungna att byta namn på SSL 3.0 som en del av denna omställning (av samma anledning). Så skapades TLS 1.0 (som var SSL 3.1). När man ser tillbaka på det hela verkar hela situationen naturligtvis löjlig.

SSL håller på att ersättas med TLS, och praktiskt taget alla SSL-versioner har föråldrats på grund av dokumenterade säkerhetsbrister. Ett exempel är Google Chrome, som slutade använda SSL 3.0 2014. Majoriteten av dagens webbläsare på nätet har inte stöd för SSL alls.

Varför byta ut dina SSL-certifikat mot TLS-certifikat?

Det främsta skälet till att byta ut din befintliga SSL-certifikat med nya TLS-certifikat är att de är inkompatibla med varandra - de använder olika protokoll och algoritmer. Detta innebär att en webbläsare eller ett klientprogram som använder det ena protokollet inte kan ansluta säkert till en server som använder det andra protokollet utan att uttryckliga konfigurationsändringar görs på båda sidor av anslutningen.

Slutord

Både SSL- och TLS-certifikat har samma funktion att kryptera dataflödet om du jämför dem. TLS är en förbättrad och säkrare version av SSL. SSL-certifikat, som är allmänt tillgängliga på nätet, har dock samma funktion att skydda din webbplats. I själva verket ger de båda HTTPS-adressfältet, som har kommit att erkännas som det utmärkande kännetecknet för säkerhet på nätet.

SSL och TLS skyddar din webbplats från obehörig användning, DMARC din e-postdomän mot personifiering. DMARC är en standard för autentisering av e-post som gör det möjligt att vidta åtgärder mot e-postmeddelanden från obehöriga källor som utger sig för att vara ditt domännamn.

Börja din väg mot verkställighet av DMARC med PowerDMARC kan du styra din domän helt och hållet, få synlighet för dina e-postkanaler till den snabbaste marknadsräntan och säkert övergå till strängare policyer!

Senaste inlägg av Ahona Rudra (se alla)