Sigurnost transportnog sloja (TLS) najnovija je verzija protokola Secure Socket Layer (SSL). Oba protokola osiguravaju privatnost i autentičnost podataka putem interneta. Ovi široko korišteni protokoli pružaju sigurnost od kraja do kraja primjenom enkripcije za komunikaciju temeljenu na webu. Međutim, unatoč sličnosti TLS-a i SSL-a, oni također imaju značajne razlike.

Ovaj članak objašnjava kako TLS i SSL enkripcijski protokoli rade, njihovu važnost, po čemu se razlikuju i zašto je pravo vrijeme za prijelaz na TLS protokol.

Povijesna pozadina TLS-a i SSL-a

Internet Engineering Task Force (IETF), organizacija odgovorna za razvoj internetskih standarda, objavila je Zahtjev za komentare (RFC-1984), prepoznajući važnost zaštite osobnih podataka u rastućem internetu. Netscape Communication Corporation uvela je SSL za sigurnu web komunikaciju koja je doživjela višestruke nadogradnje.

SSL 1.0 verzija nikada nije objavljena zbog sigurnosnih nedostataka, a SSL 2.0 je bio prvo javno izdanje Netscapea 1995. godine. Međutim, zbog sigurnosnih propusta i nedostataka, zamijenjen je drugom SSL verzijom 3.0 u studenom 1996. godine. Najnovija SSL verzija također se ne koristi zbog svoje nesigurnosti protiv

instagram viewer
Napad PUDLE u listopadu 2014 i službeno je zastarjela u lipnju 2015.

TLS je objavljen 1999. godine kao protokol neovisan o aplikaciji: nadogradnja na SSL verziju 3.0 koju je napravila radna skupina za internet inženjering (IETF). Ideja je bila implementirati TLS preko TCP-a za šifriranje aplikacija koristeći FTP, IMAP, SMTP i HTTP protokole. Na primjer, HTTPS je sigurna verzija HTTP-a budući da implementira TLS kako bi osigurao sigurnu isporuku podataka izbjegavanjem izmjena sadržaja i prisluškivanja.

Osnovni rad TLS/SSL protokola

Komunikacija između strana (npr. preglednika vašeg računala i web-mjesta) započinje identificiranjem je li će uključiti TLS/SSL protokol ili ne, tako da klijent može odrediti upotrebu TLS enkripcije ili po:

  • Određivanje porta koji podržava SSL komunikacijsku enkripciju, ili
  • Iznošenjem zahtjeva specifičnih za TLS protokol

U međuvremenu, web stranica zahtijeva TLS/SSL certifikat instaliran na svom hosting poslužitelju za korištenje protokola. Treća strana od povjerenja izdaje certifikat koji veže javni ključ na domenu koja posjeduje privatni ključ i omogućuje mu šifriranje/dešifriranje komunikacije.

Nakon dogovora o korištenju TLS/SSL-a za komunikaciju klijent-poslužitelj, nastavlja se s rukovanjem. Rukovanje uspostavlja specifikacije potrebne za razmjenu poruka. Sljedeći odjeljak sažima niz razmjena informacija kako bi se omogućila TLS/SSL veza:

  1. Strane se tada dogovore o verziji protokola koju će koristiti
  2. Zatim odlučuje o kriptografskim algoritmima ili paketu šifri
  3. Ovjerava strane koje komuniciraju svojim javnim ključem i digitalnim potpisima izdavatelja certifikata, zatim
  4. Razmjenjuje ključeve sesije za korištenje tijekom komunikacije. I TLS i SSL protokoli koriste asimetričnu kriptografiju za generiranje zajedničkih (javnih) i privatnih ključeva.

Ako preglednik ne može provjeriti valjanost TLS/SSL certifikata, vraća pogrešku "Veza nije privatna".

Nakon uspostavljanja metode dešifriranja tijekom rukovanja, protokol snimanja koristi simetrično šifriranje za komunikaciju tijekom cijele sesije. Osim toga, protokol snimanja također dodaje poruku s HMAC-om za TLS i MAC-om za SSL kako bi se osigurao integritet podataka.

Dakle, protokoli postižu tri temeljna cilja sigurnosti:

  • Povjerljivost: Šifrira podatke kako bi ih sakrio od trećih strana, tako da samo primatelj koji je namijenjen može vidjeti sadržaj.
  • Integritet: Primjenjuje kod za provjeru autentičnosti poruke za provjeru sadržaja šifrirane poruke.
  • Ovjera: Ovjerava identitet web stranice/klijenta/poslužitelja uz pomoć certifikata kako bi se osiguralo da strane koje razmjenjuju informacije ne mogu odustati od svog identiteta.

Koja je razlika između TLS-a i SSL-a?

Kao što je ranije spomenuto, glavna razlika koju primjećujete između oba protokola je način na koji uspostavljaju veze. TLS rukovanje koristi implicitan način uspostavljanja veze putem protokola, dok SSL uspostavlja eksplicitne veze s portom.

Bez obzira na sve druge razlike, temeljna značajka koja razlikuje obje TLS/SSL veze je korištenje paketa šifri koji odlučuje o cjelokupnoj sigurnosti veze.

Bitan dio TLS/SSL veze je dogovor oko paketa šifri koji definira skup algoritama za razmjenu ključeva, autentifikaciju, skupno enkripciju i algoritme koda za provjeru autentičnosti poruke koji se temelji na hashu (HMAC) ili koda za provjeru autentičnosti poruke, itd. za određenu sesiju. Svaka TLS/SSL verzija podržava različite skupove šifri za komunikacijsku sesiju. Dakle, svaki paket šifriranja podržava vlastiti skup algoritama koji poboljšavaju sigurnost i ukupnu izvedbu veze.

SSL TLS
SSL je složen protokol za implementaciju. TLS je jednostavniji protokol.
SSL ima tri verzije, od kojih je najnovija SSL 3.0. TLS ima četiri verzije, od kojih je najnovija verzija TLS 1.3
Sve verzije SSL protokola su osjetljive na napade. TLS protokol nudi visoku sigurnost.
SSL koristi kod za provjeru autentičnosti poruke (MAC) nakon enkripcije poruke za integritet podataka TLS koristi kod za provjeru autentičnosti poruke koji se temelji na hashu u svom protokolu snimanja.
SSL koristi sažetak poruke za stvaranje glavne tajne. TLS koristi pseudo-slučajnu funkciju za stvaranje glavne tajne.

Zašto je TLS zamijenio SSL?

TLS enkripcija sada je standardna praksa za osiguranje web aplikacija ili podataka u prijenosu od prisluškivanja i neovlaštenog pristupa. Nerealno je pretpostaviti TLS kao najsigurniji protokol jer je bio sklon kršenjima kao što je kriminal i Heartbleed 2012. i 2014., ali je pokazao mnogo poboljšanja u pogledu performansi i sigurnost.

TLS zamjenjuje SSL, a gotovo sve SSL verzije su sada zastarjele zbog poznatih ranjivosti. Google Chrome je jedan od takvih primjera koji je prestao koristiti SSL 3.0 verziju još 2014. godine, a većina modernih web preglednika uopće ne podržava SSL.

Koristite TLS za šifriranu komunikaciju

TLS pomaže u zaštiti osjetljivih informacija tijekom prijevoza kao što su podaci o kreditnoj kartici, e-pošta, glas preko IP-a (VOIP), prijenos datoteka i lozinke. Iako oba certifikata obavljaju zadatak enkripcije podataka u prijenosu, razlikuju se u funkcionalnosti i nisu interoperabilni.

Važno je napomenuti da se TLS naziva SSL samo zato što je SSL najčešće korištena terminologija, a prisutnost certifikata ne jamči korištenje TLS protokola. Osim toga, ne morate brinuti o promjeni SSL certifikata u TLS jer sve što trebate učiniti je instalirati certifikat na poslužitelj jer podržava oba protokola i odlučuje koji ćete koristiti.

7 razloga zašto vašoj web stranici treba SSL certifikat

Nije važno razvijate li skroman blog ili potpunu e-trgovinu: potreban vam je SSL certifikat. Evo nekoliko praktičnih razloga zašto.

Pročitajte dalje

UdioCvrkutE-mail
Povezane teme
  • Objašnjena tehnologija
  • Sigurnost
  • SSL
  • OpenSSL
  • Sigurnost na mreži
  • Sigurnost preglednika
  • Sigurnost podataka
O autoru
Rumaisa Niazi (Objavljeno 16 članaka)

Rumaisa je slobodni pisac u MUO. Nosila je mnogo šešira, od matematičarke do entuzijasta za informacijsku sigurnost, a sada radi kao analitičarka SOC-a. Njezini interesi uključuju čitanje i pisanje o novim tehnologijama, distribucijama Linuxa i svemu oko informacijske sigurnosti.

Više od Rumaise Niazi

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu