Varnost transportnega sloja (TLS) je najnovejša različica protokola Secure Socket Layer (SSL). Oba protokola zagotavljata zasebnost in pristnost podatkov prek interneta. Ti široko uporabljeni protokoli zagotavljajo varnost od konca do konca z uporabo šifriranja za spletno komunikacijo. Vendar pa imata kljub podobnosti TLS in SSL tudi pomembne razlike.

Ta članek pojasnjuje, kako delujeta protokola za šifriranje TLS in SSL, njihov pomen, kako se razlikujeta in zakaj je pravi čas za prehod na protokol TLS.

Zgodovinsko ozadje TLS in SSL

Objavila je Internet Engineering Task Force (IETF), organizacija, odgovorna za razvoj internetnih standardov Zahteva za komentarje (RFC-1984), ki se zaveda pomena varstva osebnih podatkov v rastočem internetu. Netscape Communication Corporation je uvedla SSL za varno spletno komunikacijo, ki je bila večkrat nadgrajena.

Različica SSL 1.0 ni bila nikoli izdana zaradi varnostnih napak, SSL 2.0 pa je bila prva javna izdaja Netscapea leta 1995. Vendar pa ga je zaradi varnostnih ranljivosti in pomanjkljivosti novembra 1996 nadomestila druga različica SSL 3.0. Najnovejša različica SSL prav tako ni v uporabi zaradi negotovosti pred

Napad POODLE oktobra 2014 in je bil uradno opuščen junija 2015.

TLS je bil izdan leta 1999 kot protokol, ki je neodvisen od aplikacij: nadgradnja na različico SSL 3.0, ki jo je izdelala delovna skupina Internet Engineering Task Force (IETF). Ideja je bila implementacija TLS prek TCP za šifriranje aplikacij z uporabo protokolov FTP, IMAP, SMTP in HTTP. na primer, HTTPS je varna različica HTTP saj izvaja TLS za zagotavljanje varne dostave podatkov z izogibanjem spreminjanju vsebine in prisluškovanju.

Osnovno delovanje protokolov TLS/SSL

Komunikacija med strankami (npr. brskalnikom vašega računalnika in spletnim mestom) se začne tako, da ugotovi, ali je bo vključeval protokol TLS/SSL ali ne, tako da lahko odjemalec določi uporabo šifriranja TLS bodisi avtor:

  • Določanje vrat, ki podpirajo šifriranje komunikacije SSL, oz
  • Z zahtevami, specifičnimi za protokol TLS

Medtem, spletno mesto zahteva potrdilo TLS/SSL nameščen na svojem strežniku za gostovanje za uporabo protokola. Zaupanja vredna tretja oseba izda potrdilo, ki veže javni ključ na domeno, ki lastnik zasebnega ključa in omogoča šifriranje/dešifriranje komunikacije.

Po dogovoru o uporabi TLS/SSL za komunikacijo odjemalec-strežnik nadaljuje z izvajanjem rokovanja. Stisk roke določa specifikacije, potrebne za izmenjavo sporočil. Naslednji razdelek povzema vrsto izmenjav informacij za omogočanje povezave TLS/SSL:

  1. Stranki se nato dogovorita o različici protokola, ki ga bosta uporabljali
  2. Nato se odloči za kriptografske algoritme ali zbirko šifriranja
  3. overi stranke, ki komunicirajo z njihovim javnim ključem in digitalnimi podpisi izdajatelja potrdila, nato
  4. Izmenja ključe seje za uporabo med komunikacijo. Protokola TLS in SSL uporabljata asimetrično kriptografijo za ustvarjanje skupnih (javnih) in zasebnih ključev.

Če brskalnik ne more potrditi potrdila TLS/SSL, vrne napako »Povezava ni zasebna«.

Po vzpostavitvi metode dešifriranja med rokovanjem, zapisni protokol uporablja simetrično šifriranje za komunikacijo za celotno sejo. Poleg tega protokol zapisovanja sporočilu doda tudi HMAC za TLS in MAC za SSL, da zagotovi celovitost podatkov.

Zato protokoli dosegajo tri temeljne cilje varnosti:

  • zaupnost: Šifrira podatke, da jih skrije pred tretjimi osebami, tako da si lahko vsebino ogleda samo predvideni prejemnik.
  • Integriteta: Uporabi kodo za preverjanje pristnosti sporočila za preverjanje šifrirane vsebine sporočila.
  • Preverjanje pristnosti: Preverja identiteto spletnega mesta/odjemalca/strežnika s pomočjo potrdila, da zagotovi, da se strani, ki si izmenjujejo informacije, ne morejo umakniti od svoje identitete.

Kakšna je razlika med TLS in SSL?

Kot smo že omenili, je glavna razlika, ki jo opazite med obema protokoloma, kako vzpostavita povezave. TLS rokovanje uporablja impliciten način vzpostavitve povezave prek protokola, medtem ko SSL vzpostavi eksplicitne povezave z vrati.

Ne glede na vse druge razlike je temeljna značilnost, ki razlikuje obe povezavi TLS/SSL, uporaba šifrirnega paketa, ki odloča o splošni varnosti povezave.

Bistveni del povezave TLS/SSL je dogovor o zbirki šifriranja, ki definira nabor algoritmov za izmenjavo ključev, preverjanje pristnosti, šifriranje v velikem obsegu in algoritmi kode za preverjanje pristnosti sporočil, ki temelji na hash (HMAC) ali kodi za preverjanje pristnosti sporočil, itd. za določeno sejo. Vsaka različica TLS/SSL podpira drugačen nabor šifrirnih zbirk za komunikacijsko sejo. Zato vsaka šifrirna zbirka podpira svoj nabor algoritmov, ki izboljšujejo varnost in splošno zmogljivost povezave.

SSL TLS
SSL je zapleten protokol za implementacijo. TLS je enostavnejši protokol.
SSL ima tri različice, od katerih je najnovejša SSL 3.0. TLS ima štiri različice, od katerih je najnovejša različica TLS 1.3
Vse različice protokola SSL so ranljive za napade. Protokol TLS nudi visoko varnost.
SSL za celovitost podatkov uporablja kodo za preverjanje pristnosti sporočil (MAC) po šifriranju sporočila TLS v svojem zapisnem protokolu uporablja kodo za preverjanje pristnosti sporočil, ki temelji na hash.
SSL uporablja povzetek sporočil za ustvarjanje glavne skrivnosti. TLS uporablja psevdo-naključno funkcijo za ustvarjanje glavne skrivnosti.

Zakaj je TLS nadomestil SSL?

Šifriranje TLS je zdaj standardna praksa za zaščito spletnih aplikacij ali podatkov med tranzitom pred prisluškovanjem in nedovoljenim poseganjem. Nerealno je domnevati, da je TLS najbolj varen protokol, saj je bil nagnjen k kršitvam, kot je kriminal in Heartbleed v letih 2012 in 2014, vendar je pokazal veliko izboljšav glede zmogljivosti in varnost.

TLS nadomešča SSL in skoraj vse različice SSL so zdaj zaradi znanih ranljivosti opuščene. Google Chrome je en tak primer, ki je prenehal uporabljati različico SSL 3.0 že leta 2014, večina sodobnih spletnih brskalnikov pa SSL sploh ne podpira.

Uporabite TLS za šifrirano komunikacijo

TLS pomaga zaščititi občutljive informacije med prevozom, kot so podatki o kreditnih karticah, e-pošta, glasovni prenos preko IP-ja (VOIP), prenos datotek in gesla. Čeprav oba potrdila opravljata nalogo šifriranja podatkov med prenosom, se razlikujeta po funkcionalnosti in nista interoperabilna.

Pomembno je omeniti, da se TLS imenuje SSL samo zato, ker je SSL najpogosteje uporabljena terminologija, prisotnost potrdila pa ne zagotavlja uporabe protokola TLS. Poleg tega vam ni treba skrbeti za spreminjanje potrdil SSL v TLS, saj morate samo namestiti potrdilo na strežnik, saj podpira oba protokola in se odloči, katerega boste uporabili.

7 razlogov, zakaj vaše spletno mesto potrebuje SSL certifikat

Ni pomembno, ali razvijate skromen blog ali popolno spletno mesto za e-trgovino: potrebujete potrdilo SSL. Tukaj je nekaj praktičnih razlogov, zakaj.

Preberite Naprej

DelitiTweetE-naslov
Povezane teme
  • Razložena tehnologija
  • Varnost
  • SSL
  • OpenSSL
  • Spletna varnost
  • Varnost brskalnika
  • Varnost podatkov
O avtorju
Rumaisa Niazi (Objavljenih 16 člankov)

Rumaisa je svobodna pisateljica pri MUO. Nosila je veliko klobukov, od matematike do navdušenca za informacijsko varnost, zdaj pa dela kot analitik SOC. Njena zanimanja vključujejo branje in pisanje o novih tehnologijah, distribucijah Linuxa in karkoli v zvezi z informacijsko varnostjo.

Več od Rumaisa Niazi

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e-knjige in ekskluzivne ponudbe!

Kliknite tukaj, da se naročite