TLS vs SSL
Det er en rekke forskjeller mellom SSL og TLS ettersom TLS er etterfølgeren til SLS, som alle vil bli diskutert i denne artikkelen. SSL, som refererer til Secure Socket Layer, er en protokoll som brukes til å gi sikkerhet til tilkoblinger mellom en server og en klient. Denne protokollen bruker sikkerhetsmekanismer som kryptografi og hashing for å tilby sikkerhetstjenester som konfidensialitet, integritet og endepunktautentisering til forbindelser mellom en server og en klient. TLS, som refererer til Transport Layer Security, er etterfølgeren til SSL, som inkluderer feilrettinger og forbedringer i forhold til SSL. SSL, som nå er litt gammel, har mange kjente sikkerhetsfeil, og derfor anbefales det å bruke den nyeste versjonen av TLS, som er TLS 1.2. SSL kom opp til versjon 3.0 og etter det ble navnet endret til TLS.
Hva er SSL?
SSL, som refererer til Secure Socket Layer, er en protokoll som brukes til å gi sikre forbindelser mellom en klient og en server. En TCP-tilkobling kan gi en pålitelig kobling mellom en server og en klient, men kan ikke tilby tjenester som konfidensialitet, integritet og endepunktautentisering. Så SSL ble introdusert av Netscape tidlig på 1990-tallet for å tilby disse tjenestene. Den første versjonen av SSL, som er kjent som SSL 1.0, ble aldri utgitt for offentligheten da den hadde mange sikkerhetshull. I 1995 ble imidlertid SSL 2.0, som ga bedre sikkerhet enn SSL 1.0, introdusert, og i 1996 ble SSL 3.0 introdusert med flere forbedringer. De neste versjonene av SSL-protokollen dukket opp under navnet TLS.
SSL, som er implementert i transportlaget, kan sikre en protokoll som TCP ved å bruke ulike sikkerhetstiltak. Det vil gi konfidensialitet ved å bruke krypteringer for å hindre noen fra å avlytte. Den bruker både asymmetrisk og symmetrisk kryptering. Først, ved å bruke asymmetrisk nøkkelkryptering, etableres en symmetrisk sesjonsnøkkel som deretter vil bli brukt for å kryptere trafikken. Asymmetrisk nøkkelkryptografi brukes også for digitale sertifikater som brukes til å autentisere serveren. Deretter brukes Message Authentication Code, som bruker ulike hashing-teknikker, for å gi integritet (identifiser enhver uautentisert modifikasjon som er gjort på de virkelige dataene). Så en protokoll som SSL tillater overføring av sensitiv informasjon som banktransaksjoner og kredittkortinformasjon over internett. Den brukes også for å gi konfidensialitet for tjenester som e-post, nettsurfing, meldinger og tale over IP.
SSL er nå utdatert og har mange sikkerhetsproblemer der bruken ikke er mye anbef alt for øyeblikket. SSL 3.0 var aktivert som standard inntil nylig i mange nettlesere, men nå planlegger de å deaktivere i fremtidige versjoner på grunn av alvorlige sikkerhetsfeil som POODLE-angrep.
Hva er TLS?
TLS, som refererer til Transport Layer Security, er etterfølgeren til SSL. Etter SSL 3.0 dukket neste versjon opp som TLS 1.0 i 1999. Så, i 2006, ble en forbedret versjon k alt TLS 1.1 introdusert. Så, i 2008, ble ytterligere forbedringer og feilrettinger gjort, og TLS 1.2 ble introdusert. For øyeblikket er TLS 1.2 den siste tilgjengelige Transport Layer Security-versjonen. Akkurat som SSL, tilbyr TLS også sikkerhetstjenester som konfidensialitet, integritet og endepunktautentisering. På samme måte brukes kryptering, meldingsautentiseringskode og digitale sertifikater for å tilby disse sikkerhetstjenestene. TLS er immun mot angrep som POODLE-angrep, som har kompromittert sikkerheten til SSL 3.0.
Anbefalingen er å bruke den nyeste TLS-versjonen, TLS 1.2, siden den er den nyeste og har minst sikkerhetsmangler. Ethvert sikkerhetssystem er ikke perfekt og med tiden vil feil bli oppdaget og i fremtiden vil TLS versjon 1.3 bli utgitt som vil fikse de oppdagede feilene. For øyeblikket er imidlertid TLS 1.2 den sikreste, og i alle vanlige nettlesere er dette aktivert som standard.
Hva er forskjellen mellom SSL og TLS?
• TLS er etterfølgeren til SLS. SLS ble introdusert på 1990-tallet og tre versjoner har blitt introdusert, nemlig SSL 1.0, SSL 2.0 og SSL 3.0. Etter det, i 1999, ble neste versjon av SSL k alt TLS 1.0. Så ble TLS 1.1 introdusert og den nyeste versjonen er TLS 1.2.
• SSL har mange feil og er utsatt for kjente angrep enn TLS. I de siste TLS-versjonene er de fleste feilene fikset og er derfor immune mot angrep.
• TLS har nye funksjoner og støtter nye algoritmer sammenlignet med SSL.
• Med angrepet k alt POODLE-angrep, har bruk av SSL nå blitt mye sårbart, og i de nye versjonene av nettlesere vil SSL være deaktivert som standard. I alle nettlesere er imidlertid TLS aktivert som standard.
• TLS støtter nye autentiserings- og nøkkelutvekslingsalgoritmer som ECDH-RSA, ECDH-ECDSA, PSK og SRP.
• Message Authentication Code Algoritme-suiter som HMAC-SHA256/384 og AEAD er tilgjengelig i de nyeste TLS-versjonene, men ikke i SSL.
• SSL ble utviklet og redigert under Netscape. TLS er imidlertid under Internet Engineering Task Force som en standardprotokoll og er derfor tilgjengelig under RFC.
• Det er forskjeller i implementeringen av protokollen, for eksempel i nøkkelutveksling og nøkkelavledning.
Sammendrag:
TLS vs SSL
TLS er etterfølgeren til SSL, og derfor inkluderer TLS mange forbedringer og feilrettinger over SSL. SSL ble introdusert tidlig på 1990-tallet og tre versjoner kom opp til SSL 3.0. Så, i 1999, dukket neste versjon av SSL opp under navnet TLS 1.0. Foreløpig er den nyeste versjonen TLS 1.2. SSL som er en gammel protokoll har mange kjente sikkerhetsfeil og er derfor utsatt for kjente angrep som POODLE-angrep. Den siste versjonen av TLS har rettelser til disse angrepene, mens den også støtter nye funksjoner og algoritmer. Så for programmer som trenger bedre sikkerhet, anbefales den nyeste versjonen av TLS i stedet for å bruke gamle SSL-protokoller.