TLS εναντίον SSL
Υπάρχουν πολλές διαφορές μεταξύ του SSL και του TLS, καθώς το TLS είναι ο διάδοχος του SLS, οι οποίες θα συζητηθούν σε αυτό το άρθρο. Το SSL, το οποίο αναφέρεται στο Secure Socket Layer, είναι ένα πρωτόκολλο που χρησιμοποιείται για την παροχή ασφάλειας στις συνδέσεις μεταξύ διακομιστή και πελάτη. Αυτό το πρωτόκολλο χρησιμοποιεί μηχανισμούς ασφαλείας όπως κρυπτογραφία και κατακερματισμός για την παροχή υπηρεσιών ασφαλείας, όπως εμπιστευτικότητα, ακεραιότητα και έλεγχο ταυτότητας τελικού σημείου σε συνδέσεις μεταξύ διακομιστή και πελάτη. Το TLS, το οποίο αναφέρεται στο Transport Layer Security, είναι ο διάδοχος του SSL, το οποίο περιλαμβάνει διορθώσεις σφαλμάτων και βελτιώσεις σε σχέση με το SSL. Το SSL, που τώρα είναι λίγο παλιό, έχει πολλά γνωστά σφάλματα ασφαλείας και ως εκ τούτου αυτό που συνιστάται να χρησιμοποιήσετε είναι η πιο πρόσφατη έκδοση του TLS, η οποία είναι η TLS 1.2. Το SSL έφτασε στις εκδόσεις 3.0 και μετά το όνομα άλλαξε σε TLS.
Τι είναι το SSL ?
Το SSL, το οποίο αναφέρεται στο Secure Socket Layer, είναι ένα πρωτόκολλο που χρησιμοποιείται για την παροχή ασφαλών συνδέσεων μεταξύ ενός πελάτη και ενός διακομιστή. Μια σύνδεση TCP μπορεί να παρέχει μια αξιόπιστη σύνδεση μεταξύ ενός διακομιστή και ενός πελάτη, αλλά δεν μπορεί να παρέχει υπηρεσίες όπως εμπιστευτικότητα, ακεραιότητα και έλεγχος ταυτότητας τελικού σημείου. Έτσι, το SSL εισήχθη από τη Netscape στις αρχές της δεκαετίας του 1990 για να παρέχει αυτές τις υπηρεσίες. Η πρώτη έκδοση του SSL, η οποία είναι γνωστή ως SSL 1.0, δεν κυκλοφόρησε ποτέ στο κοινό καθώς είχε πολλές οπές ασφαλείας. Ωστόσο, το 1995, παρουσιάστηκε το SSL 2.0, το οποίο παρείχε καλύτερη ασφάλεια από το SSL 1.0 και, το 1996, το SSL 3.0 παρουσιάστηκε με περισσότερες βελτιώσεις. Οι επόμενες εκδόσεις του πρωτοκόλλου SSL εμφανίστηκαν με το όνομα TLS.
Το SSL, το οποίο υλοποιείται στο επίπεδο μεταφοράς, μπορεί να ασφαλίσει ένα πρωτόκολλο όπως το TCP εφαρμόζοντας διάφορα μέτρα ασφαλείας. Θα παρέχει εμπιστευτικότητα χρησιμοποιώντας κρυπτογραφήσεις για να αποτρέψει οποιονδήποτε από την υποκλοπή. Χρησιμοποιεί τόσο ασύμμετρη όσο και συμμετρική κρυπτογράφηση. Αρχικά, χρησιμοποιώντας κρυπτογράφηση ασύμμετρου κλειδιού, δημιουργείται ένα συμμετρικό κλειδί συνεδρίας το οποίο στη συνέχεια θα χρησιμοποιηθεί για την κρυπτογράφηση της κίνησης. Η κρυπτογραφία ασύμμετρου κλειδιού χρησιμοποιείται επίσης για ψηφιακά πιστοποιητικά που χρησιμοποιούνται για τον έλεγχο ταυτότητας του διακομιστή. Στη συνέχεια, ο Κωδικός ελέγχου ταυτότητας μηνυμάτων, ο οποίος χρησιμοποιεί διάφορες τεχνικές κατακερματισμού, χρησιμοποιείται για την παροχή ακεραιότητας (προσδιορισμός οποιασδήποτε τροποποίησης που δεν έχει επικυρωθεί στα πραγματικά δεδομένα). Έτσι, ένα πρωτόκολλο όπως το SSL επιτρέπει τη μετάδοση ευαίσθητων πληροφοριών όπως τραπεζικές συναλλαγές και πληροφορίες πιστωτικών καρτών μέσω του Διαδικτύου. Επίσης, χρησιμοποιείται για την παροχή εμπιστευτικότητας για υπηρεσίες όπως το ηλεκτρονικό ταχυδρομείο, η περιήγηση στον ιστό, η ανταλλαγή μηνυμάτων και η φωνή μέσω IP.
Το SSL είναι πλέον ξεπερασμένο και έχει πολλά ζητήματα ασφάλειας όπου η χρήση του δεν συνιστάται ιδιαίτερα αυτήν τη στιγμή. Το SSL 3.0 ήταν ενεργοποιημένο από προεπιλογή μέχρι πρόσφατα σε πολλά προγράμματα περιήγησης, αλλά τώρα σχεδιάζουν να το απενεργοποιήσουν σε μελλοντικές εκδόσεις λόγω σοβαρών σφαλμάτων ασφαλείας, όπως η επίθεση POODLE.
Τι είναι το TLS;
Το TLS, το οποίο αναφέρεται στην ασφάλεια επιπέδου μεταφοράς, είναι ο διάδοχος του SSL. Μετά το SSL 3.0, η επόμενη έκδοση εμφανίστηκε ως TLS 1.0 το 1999. Στη συνέχεια, το 2006, παρουσιάστηκε μια βελτιωμένη έκδοση με το όνομα TLS 1.1. Στη συνέχεια, το 2008, έγιναν περαιτέρω βελτιώσεις και διορθώσεις σφαλμάτων και παρουσιάστηκε το TLS 1.2. Επί του παρόντος, το TLS 1.2 είναι η πιο πρόσφατη διαθέσιμη έκδοση Transport Layer Security. Ακριβώς όπως το SSL, το TLS παρέχει επίσης υπηρεσίες ασφαλείας, όπως εμπιστευτικότητα, ακεραιότητα και έλεγχο ταυτότητας τελικού σημείου. Παρομοίως, η κρυπτογράφηση, ο κωδικός ελέγχου ταυτότητας μηνυμάτων και τα ψηφιακά πιστοποιητικά χρησιμοποιούνται για την παροχή αυτών των υπηρεσιών ασφαλείας. Το TLS έχει ανοσία σε επιθέσεις όπως η επίθεση POODLE, η οποία έχει θέσει σε κίνδυνο την ασφάλεια του SSL 3.0.
Η σύσταση είναι να χρησιμοποιήσετε την πιο πρόσφατη έκδοση TLS, TLS 1.2, καθώς είναι η πιο πρόσφατη και έχει τα λιγότερα ελαττώματα ασφαλείας. Οποιοδήποτε σύστημα ασφαλείας δεν είναι τέλειο και με την πάροδο του χρόνου θα εντοπιστούν ελαττώματα και στο μέλλον θα κυκλοφορήσει η έκδοση 1.3 TLS που θα διορθώνει αυτά τα σφάλματα που εντοπίστηκαν. Ωστόσο, επί του παρόντος, το TLS 1.2 είναι το πιο ασφαλές και, σε όλα τα κύρια προγράμματα περιήγησης, αυτό είναι ενεργοποιημένο από προεπιλογή.
Ποια είναι η διαφορά μεταξύ SSL και TLS;
• Το TLS είναι ο διάδοχος του SLS. Το SLS εισήχθη τη δεκαετία του 1990 και έχουν εισαχθεί τρεις εκδόσεις, οι SSL 1.0, SSL 2.0 και SSL 3.0. Μετά από αυτό, το 1999, η επόμενη έκδοση του SSL ονομάστηκε TLS 1.0. Στη συνέχεια παρουσιάστηκε το TLS 1.1 και η τρέχουσα τελευταία έκδοση είναι TLS 1.2.
• Το SSL έχει πολλά σφάλματα και είναι επιρρεπές σε γνωστές επιθέσεις από το TLS. Στις πιο πρόσφατες εκδόσεις TLS, τα περισσότερα σφάλματα έχουν διορθωθεί και ως εκ τούτου είναι απρόσβλητο σε επιθέσεις.
• Το TLS έχει νέες δυνατότητες και υποστηρίζει νέους αλγόριθμους σε σύγκριση με το SSL.
• Με την επίθεση που ονομάζεται επίθεση POODLE, τώρα η χρήση του SSL έχει γίνει πολύ ευάλωτη και, στις νέες εκδόσεις των προγραμμάτων περιήγησης ιστού, το SSL θα είναι απενεργοποιημένο από προεπιλογή. Ωστόσο, σε όλα τα προγράμματα περιήγησης, το TLS είναι ενεργοποιημένο από προεπιλογή.
• Το TLS υποστηρίζει νέες σουίτες αλγορίθμων ελέγχου ταυτότητας και ανταλλαγής κλειδιών όπως ECDH-RSA, ECDH-ECDSA, PSK και SRP.
• Οι σουίτες αλγορίθμων κωδικού ελέγχου ταυτότητας μηνυμάτων όπως το HMAC-SHA256/384 και το AEAD είναι διαθέσιμες στις πιο πρόσφατες εκδόσεις TLS, αλλά όχι σε SSL.
• Το SSL αναπτύχθηκε και υποβλήθηκε σε επεξεργασία στο Netscape. Ωστόσο, το TLS υπάγεται στο Internet Engineering Task Force ως τυπικό πρωτόκολλο και ως εκ τούτου είναι διαθέσιμο στο RFC.
• Υπάρχουν διαφορές στην υλοποίηση του πρωτοκόλλου, όπως στην ανταλλαγή κλειδιών και στην παραγωγή κλειδιών.
Σύνοψη:
TLS εναντίον SSL
Το TLS είναι ο διάδοχος του SSL και ως εκ τούτου το TLS περιλαμβάνει πολλές βελτιώσεις και διορθώσεις σφαλμάτων σε σχέση με το SSL. Το SSL εισήχθη στις αρχές της δεκαετίας του 1990 και τρεις εκδόσεις έφτασαν στο SSL 3.0. Στη συνέχεια, το 1999, η επόμενη έκδοση του SSL εμφανίστηκε με το όνομα TLS 1.0. Επί του παρόντος, η πιο πρόσφατη έκδοση είναι η TLS 1.2. Το SSL που είναι ένα παλιό πρωτόκολλο έχει πολλά γνωστά σφάλματα ασφαλείας και ως εκ τούτου είναι ευαίσθητο σε γνωστές επιθέσεις όπως η επίθεση POODLE. Η τελευταία έκδοση του TLS έχει διορθώσεις σε αυτές τις επιθέσεις, ενώ υποστηρίζει επίσης νέες δυνατότητες και αλγόριθμους. Επομένως, για εφαρμογές που χρειάζονται καλύτερη ασφάλεια, συνιστάται η πιο πρόσφατη έκδοση του TLS αντί να χρησιμοποιείτε παλιά πρωτόκολλα SSL.
