TLS vs. SSL
Der er en række forskelle mellem SSL og TLS, da TLS er efterfølgeren til SLS, som alle vil blive diskuteret i denne artikel. SSL, som refererer til Secure Socket Layer, er en protokol, der bruges til at give sikkerhed til forbindelser mellem en server og en klient. Denne protokol bruger sikkerhedsmekanismer såsom kryptografi og hashing til at levere sikkerhedstjenester såsom fortrolighed, integritet og slutpunktsgodkendelse til forbindelser mellem en server og en klient. TLS, som refererer til Transport Layer Security, er efterfølgeren til SSL, som omfatter fejlrettelser og forbedringer i forhold til SSL. SSL, der nu er lidt gammelt, har en masse kendte sikkerhedsfejl, og derfor anbefales det at bruge den nyeste version af TLS, som er TLS 1.2. SSL kom op til version 3.0, og derefter blev navnet ændret til TLS.
Hvad er SSL?
SSL, som refererer til Secure Socket Layer, er en protokol, der bruges til at give sikre forbindelser mellem en klient og en server. En TCP-forbindelse kan give en pålidelig forbindelse mellem en server og en klient, men kan ikke levere tjenester såsom fortrolighed, integritet og slutpunktsgodkendelse. Så SSL blev introduceret af Netscape i begyndelsen af 1990'erne for at levere disse tjenester. Den første version af SSL, som er kendt som SSL 1.0, blev aldrig frigivet til offentligheden, da den havde mange sikkerhedshuller. Men i 1995 blev SSL 2.0, som gav bedre sikkerhed end SSL 1.0, introduceret, og i 1996 blev SSL 3.0 introduceret med flere forbedringer. De næste versioner af SSL-protokollen dukkede op under navnet TLS.
SSL, som er implementeret i transportlaget, kan sikre en protokol såsom TCP ved at anvende forskellige sikkerhedsforanst altninger. Det vil give fortrolighed ved at bruge krypteringer for at forhindre nogen i at aflytte. Den bruger både asymmetrisk og symmetrisk kryptering. Først ved brug af asymmetrisk nøglekryptering etableres en symmetrisk sessionsnøgle, som derefter ville blive brugt til at kryptere trafikken. Asymmetrisk nøglekryptografi bruges også til digitale certifikater, der bruges til at autentificere serveren. Derefter bruges Message Authentication Code, som bruger forskellige hashing-teknikker, til at give integritet (identificere enhver uautentificeret ændring af de rigtige data). Så en protokol som SSL tillader transmission af følsomme oplysninger såsom banktransaktioner og kreditkortoplysninger over internettet. Det bruges også til at give fortrolighed til tjenester såsom e-mail, web-browsing, beskeder og voice over IP.
SSL er nu forældet og har mange sikkerhedsproblemer, hvor brugen af det i øjeblikket ikke anbefales meget. SSL 3.0 var aktiveret som standard indtil for nylig i mange browsere, men nu planlægger de at deaktivere i fremtidige versioner på grund af alvorlige sikkerhedsfejl såsom POODLE-angreb.
Hvad er TLS?
TLS, som refererer til Transport Layer Security, er efterfølgeren til SSL. Efter SSL 3.0 dukkede den næste version op som TLS 1.0 i 1999. Derefter, i 2006, blev en forbedret version kaldet TLS 1.1 introduceret. Derefter, i 2008, blev der foretaget yderligere forbedringer og fejlrettelser, og TLS 1.2 blev introduceret. I øjeblikket er TLS 1.2 den seneste tilgængelige Transport Layer Security-version. Ligesom SSL leverer TLS også sikkerhedstjenester såsom fortrolighed, integritet og slutpunktsgodkendelse. Tilsvarende bruges kryptering, meddelelsesgodkendelseskode og digitale certifikater til at levere disse sikkerhedstjenester. TLS er immun over for angreb såsom POODLE-angreb, som har kompromitteret sikkerheden i SSL 3.0.
Anbefalingen er at bruge den seneste TLS-version, TLS 1.2, da den er den nyeste, den har færrest sikkerhedsfejl. Ethvert sikkerhedssystem er ikke perfekt og med tiden vil fejl blive opdaget, og i fremtiden vil TLS version 1.3 blive frigivet, som vil rette de opdagede fejl. Men i øjeblikket er TLS 1.2 den mest sikre, og i alle almindelige browsere er dette aktiveret som standard.
Hvad er forskellen mellem SSL og TLS?
• TLS er efterfølgeren til SLS. SLS blev introduceret i 1990'erne, og tre versioner er blevet introduceret, nemlig SSL 1.0, SSL 2.0 og SSL 3.0. Derefter, i 1999, blev den næste version af SSL navngivet som TLS 1.0. Så blev TLS 1.1 introduceret, og den aktuelle seneste version er TLS 1.2.
• SSL har mange fejl og er modtagelig for kendte angreb end TLS. I de seneste TLS-versioner er de fleste fejl blevet rettet og er derfor immune over for angreb.
• TLS har nye funktioner og understøtter nye algoritmer sammenlignet med SSL.
• Med angrebet kaldet POODLE-angreb er brugen af SSL nu blevet meget sårbar, og i de nye versioner af webbrowsere vil SSL være deaktiveret som standard. Men i alle browsere er TLS aktiveret som standard.
• TLS understøtter nye godkendelses- og nøgleudvekslingsalgoritmer som ECDH-RSA, ECDH-ECDSA, PSK og SRP.
• Message Authentication Code Algoritme suiter såsom HMAC-SHA256/384 og AEAD er tilgængelige i de seneste TLS-versioner, men ikke i SSL.
• SSL blev udviklet og redigeret under Netscape. TLS er dog under Internet Engineering Task Force som en standardprotokol og er derfor tilgængelig under RFC.
• Der er forskelle i implementeringen af protokollen, såsom nøgleudveksling og nøgleudledning.
Oversigt:
TLS vs. SSL
TLS er efterfølgeren til SSL, og derfor inkluderer TLS en masse forbedringer og fejlrettelser over SSL. SSL blev introduceret i begyndelsen af 1990'erne, og tre versioner kom op til SSL 3.0. Så, i 1999, dukkede den næste version af SSL op under navnet TLS 1.0. I øjeblikket er den seneste version TLS 1.2. SSL er en gammel protokol, der har en masse kendte sikkerhedsfejl og er derfor modtagelig for kendte angreb såsom POODLE-angreb. Den seneste version af TLS har rettelser til disse angreb, mens den også understøtter nye funktioner og algoritmer. Så for applikationer, der har brug for en bedre sikkerhed, anbefales den seneste version af TLS i stedet for at bruge gamle SSL-protokoller.