Transport Layer Security (TLS) er den nyeste versjonen av Secure Socket Layer (SSL)-protokollen. Begge protokollene sikrer datapersonvern og autentisitet over internett. Disse mye brukte protokollene gir ende-til-ende-sikkerhet ved å bruke kryptering for nettbasert kommunikasjon. Til tross for likhetene mellom TLS og SSL, har de også betydelige forskjeller.

Denne artikkelen forklarer hvordan TLS- og SSL-krypteringsprotokollene fungerer, deres betydning, hvordan de er forskjellige, og hvorfor det er rett tid å bytte til TLS-protokollen.

Den historiske bakgrunnen til TLS og SSL

Internet Engineering Task Force (IETF), organisasjonen som er ansvarlig for å utvikle internettstandarder, publisert Forespørsel om kommentarer (RFC-1984), som anerkjenner viktigheten av beskyttelse av personopplysninger på det voksende internett. Netscape Communication Corporation introduserte SSL for sikker nettkommunikasjon som gjennomgikk flere oppgraderinger.

SSL 1.0-versjonen ble aldri utgitt på grunn av sikkerhetsfeil, og SSL 2.0 var den første offentlige utgivelsen av Netscape i 1995. På grunn av sikkerhetssårbarheter og ulemper ble den imidlertid erstattet av en annen SSL-versjon 3.0 i november 1996. Den siste SSL-versjonen er heller ikke i bruk på grunn av dens usikkerhet mot

POODLE-angrep i oktober 2014 og ble offisielt avskrevet i juni 2015.

TLS ble utgitt i 1999 som en applikasjonsuavhengig protokoll: en oppgradering til SSL versjon 3.0 laget av Internet Engineering Task Force (IETF). Ideen var å implementere TLS over TCP for å kryptere applikasjoner ved hjelp av FTP-, IMAP-, SMTP- og HTTP-protokoller. For eksempel, HTTPS er en sikker versjon av HTTP da den implementerer TLS for å sikre sikker datalevering ved å unngå innholdsendringer og avlytting.

Grunnleggende bruk av TLS/SSL-protokoller

Kommunikasjon mellom parter (f.eks. nettleseren din og et nettsted) starter ved å identifisere om det vil inkludere TLS/SSL-protokoll eller ikke, slik at klienten kan spesifisere bruken av TLS-kryptering enten av:

  • Spesifisere en port som støtter SSL-kommunikasjonskryptering, eller
  • Ved å gjøre TLS-protokollspesifikke forespørsler

I mellomtiden, et nettsted krever et TLS/SSL-sertifikat installert på vertsserveren for å bruke protokollen. En klarert tredjepart utsteder sertifikatet som binder den offentlige nøkkelen til domenet som eier den private nøkkelen og lar den kryptere/dekryptere kommunikasjonen.

Etter å ha blitt enige om å bruke TLS/SSL for klient-server-kommunikasjon, fortsetter den med å utføre håndtrykket. Håndtrykket etablerer spesifikasjonene som kreves for å utveksle meldinger. Den følgende delen oppsummerer serien med informasjonsutvekslinger for å aktivere TLS/SSL-tilkobling:

  1. Partene blir da enige om hvilken versjon av protokollen de skal bruke
  2. Bestemmer seg for hvilke kryptografiske algoritmer eller chifferpakken som skal brukes, da
  3. Autentiserer kommuniserende parter med deres offentlige nøkkel og digitale signaturer fra den utstedende sertifikatmyndigheten
  4. Utveksler øktnøkler for bruk under kommunikasjon. Både TLS- og SSL-protokoller bruker asymmetrisk kryptografi for å generere delte (offentlige) og private nøkler.

Hvis nettleseren ikke kan validere TLS/SSL-sertifikatet, returnerer den feilmeldingen "Tilkobling er ikke privat."

Etter å ha etablert dekrypteringsmetoden under håndtrykket, postprotokollen bruker symmetrisk kryptering for kommunikasjon for hele økten. Dessuten legger rekordprotokollen også til meldingen med HMAC for TLS og MAC for SSL for å sikre dataintegritet.

Derfor oppnår protokollene tre grunnleggende sikkerhetsmål:

  • Konfidensialitet: Krypterer data for å skjule dem for tredjeparter, slik at bare en tiltenkt mottaker kan se innholdet.
  • Integritet: Bruker meldingsautentiseringskode for å bekrefte kryptert meldingsinnhold.
  • Godkjenning: Autentiserer nettstedets/klientens/serverens identitet ved hjelp av et sertifikat for å sikre at parter som utveksler informasjon ikke kan trekke seg tilbake fra sin identitet.

Hva er forskjellen mellom TLS og SSL?

Som nevnt tidligere, er hovedforskjellen du legger merke til mellom begge protokollene hvordan de etablerer forbindelser. TLS-håndtrykk bruker en implisitt måte å etablere en forbindelse via en protokoll på, mens SSL oppretter eksplisitte forbindelser med en port.

Uavhengig av alle andre forskjeller, er den grunnleggende funksjonen som skiller begge TLS/SSL-forbindelsene bruken av en chifferpakke som bestemmer den generelle sikkerheten til forbindelsen.

Den essensielle delen av en TLS/SSL-tilkobling er å bli enige om en chifferpakke som definerer et sett med algoritmer for nøkkelutveksling, autentisering, bulkkryptering og en hash-basert meldingsautentiseringskode (HMAC) eller meldingsautentiseringskodealgoritmer, etc. for en bestemt økt. Hver TLS/SSL-versjon støtter et annet sett med chiffersuiter for kommunikasjonsøkten. Derfor støtter hver chiffersuite sitt eget sett med algoritmer som forbedrer sikkerheten og den generelle tilkoblingsytelsen.

SSL TLS
SSL er en kompleks protokoll å implementere. TLS er en enklere protokoll.
SSL har tre versjoner, hvorav SSL 3.0 er den nyeste. TLS har fire versjoner, hvorav TLS 1.3-versjonen er den nyeste
Alle SSL-protokollversjoner er sårbare for angrep. TLS-protokollen tilbyr høy sikkerhet.
SSL bruker en meldingsautentiseringskode (MAC) etter meldingskryptering for dataintegritet TLS bruker en hash-basert meldingsautentiseringskode i sin postprotokoll.
SSL bruker meldingssammendrag for å lage en hovedhemmelighet. TLS bruker en pseudo-tilfeldig funksjon for å lage en hovedhemmelighet.

Hvorfor erstattet TLS SSL?

TLS-kryptering er nå en standardpraksis for å sikre nettapplikasjoner eller data under transport mot avlytting og tukling. Det er urealistisk å anta TLS som den sikreste protokollen siden den har vært utsatt for brudd som kriminalitet og Heartbleed i 2012 og 2014, men det har vist mange forbedringer når det gjelder ytelse og sikkerhet.

TLS erstatter SSL, og nesten alle SSL-versjonene er nå avviklet på grunn av kjente sårbarheter. Google Chrome er et slikt eksempel som sluttet å bruke SSL 3.0-versjonen tilbake i 2014, og de fleste moderne nettlesere støtter ikke SSL i det hele tatt.

Bruk TLS for kryptert kommunikasjon

TLS hjelper til med å sikre sensitiv informasjon under transport som kredittkortdetaljer, e-poster, voice over IP (VOIP), filoverføring og passord. Selv om begge sertifikatene utfører oppgaven med in-transit datakryptering, er de forskjellige i funksjonalitet og er ikke interoperable.

Det er viktig å merke seg at TLS bare refereres til som SSL fordi SSL er den mest brukte terminologien, og tilstedeværelsen av et sertifikat garanterer ikke bruken av TLS-protokollen. Dessuten trenger du ikke å bekymre deg for å endre SSL til TLS-sertifikater, da alt du trenger å gjøre er å installere sertifikatet på serveren, da det støtter begge protokollene og bestemmer hvilken du skal bruke.

7 grunner til at nettstedet ditt trenger et SSL-sertifikat

Det spiller ingen rolle om du utvikler en beskjeden blogg eller en fullstendig e-handelsside: du trenger et SSL-sertifikat. Her er noen praktiske grunner.

Les Neste

DelekvitringE-post
Relaterte temaer
  • Teknologi forklart
  • Sikkerhet
  • SSL
  • OpenSSL
  • Online sikkerhet
  • Nettlesersikkerhet
  • Datasikkerhet
Om forfatteren
Rumaisa Niazi (16 artikler publisert)

Rumaisa er frilansskribent ved MUO. Hun har brukt mange hatter, fra en matematiker til en informasjonssikkerhetsentusiast, og jobber nå som SOC-analytiker. Hennes interesser inkluderer å lese og skrive om nye teknologier, Linux-distribusjoner og alt rundt informasjonssikkerhet.

Mer fra Rumaisa Niazi

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Klikk her for å abonnere