TLS vs. SSL – wszystko, co musisz wiedzieć

 

TLS vs. SSL

Gdy dopiero zaczynasz swoją przygodę w świecie tworzenia lub zarządzania stronami internetowymi stoisz przed niełatwym zadaniem. Oprócz nauczenia się, jak to ‘wszystko’ działa, musisz też najpierw zrozumieć, co jest czym i jakie ma ze sobą powiązanie. Dobrym tego przykładem jest TLS i SSL.

tls

 

Na pewno słyszałeś takie hasła jak prywatność w Internecie, cyberprzestępczość, wyłudzanie danych czy phishing. Możliwe, że kojarzysz też szereg sposobów by się przed tym zabezpieczyć i wiesz, że istotnym elementem ochrony witryny w przesyle i odbiorze danych jest ich kompleksowe szyfrowanie.

Takie szyfrowanie może zostać zapewnione dzięki użyciu popularnego SSL albo… TLS. SSL odnosi się do Secure Sockets Layer, podczas gdy TLS jest skrótem od Transport Layer Security. Zasadniczo są jednym i tym samym, a mimo to wciąż pozostają ‘zupełnie innym’.

Dzisiejszy artykuł ma za zadanie rozwiać tę i kilka innych zagwozdek. Jego forma będzie nieco odbiegała od schematu, do którego mogły przyzwyczaić Cię poprzednie artykuły. Na początku poruszymy aspekty historyczne i czysto teoretyczne. Następnie przyjrzymy się konkretnym różnicom pomiędzy SSL, a TLS.

W skrócie: TLS jest ulepszoną wersją SSL.

 

 

 

Historia TLS i SSL

Kiedy ludzie piszą o certyfikatach SSL / TLS, mają na myśli pliki cyfrowe X.509, które umożliwiają obsługę stron internetowych za pośrednictwem HTTPS i szyfrowania klucza publicznego. Aby zrozumieć, co je ze sobą łączy, musimy wrócić kilkanaście lat wstecz.

historia tls i ssl

 

W rzeczywistości SSL ma około 25 lat. Wielu z nas zgodzi się ze stwierdzeniem, że w latach Internetu to wieczność. Tak wiele lat oznacza też długą historię.

Oto, jak wygląda przeszłość TLS oraz SSL:

  • SSL 1.0: Pierwsza iteracja SSL – wersja 1.0 – została opracowana w 1995 roku przez firmę Netscape. Ta wersja nie ujrzała jednak światła dziennego, ponieważ była pełna poważnych luk w zabezpieczeniach.
  • SSL 2.0: Chwilę później pojawiło się SSL w wersji 2.0. Był on o tyle lepszy od swojego poprzednika, by zostać udostępniony publicznie, ale wciąż niewystarczająco dobry, by zdobyć pełne zaufanie ekspertów od cyberbezpieczeństwa.
  • SSL 3.0: Rok po wydaniu wersji 2.0, Internauci otrzymali dostęp do SSL 3.0. Tutaj historia znów zatoczyła koło, a eksperci zgodnie stwierdzili, że trzeba znaleźć inne rozwiązanie, niż SSL 4.0.
  • TLS 1.0: W tym momencie zespoły z Consensus Development zaczęli zajmować się nowym protokołem o nazwie TLS. Był on oparty i – tym samym – niewiarygodnie podobny do SSL 3.0, ale niestety nie rozwiązał wszystkich znanych z przeszłości problemów bezpieczeństwa. Najniebezpieczniejszą formą ataku w tamtym czasie było tzw. obniżenie wersji z TLS 1.0 na SSL 3.0.
  • TLS 1.1: 7 szczęśliwych lat później, w 2006 roku, pojawił się TLS 1.1, który załatał najbardziej niebezpieczne luki w oprogramowaniu. To jednak nie sprawiło, że z szyfrowanego połączenia zaczął korzystać każdy. Na zmianę trzeba było poczekać.
  • TLS 1.2: Internauci nie byli trzymani w niepewności zbyt długo. W 2008 roku światło dzienne ujrzał TLS 1.2 mający być rozwiązaniem wszystkich poprzednich problemów. I tak też się stało! Choć wiele witryn celowo przegapiło aktualizację do TLS 1.1, bardzo szybko przenieśli się na wersję 1.2.
  • TLS 1.3: Przyszłość jest tworzona każdego dnia. Aktualnie jesteśmy na etapie TLS 1.3, który został sfinalizowany w 2018 roku – po 11 latach prac i prawie 30 wersjach roboczych IETF. Wprowadza on znaczące ulepszenia w stosunku do poprzedników, dzięki czemu zdobył uznanie dużych graczy, którzy naciskają na jego podprogowe rozprzestrzenianie. Takimi graczami są m.in. Microsoft, Mozilla i – jakby inaczej – Google.

Sprawdź najszybszy na rynku hosting WordPress oraz hosting Ecommerce, który wspiera najnowszą wersję TLS.

 

 

 

Różnice pomiędzy SSL, a TLS

Porównując SSL vs. TLS, można dojść do wniosku, że protokoły te są bardzo odmienne. Różnią się od siebie pod względem funkcji, uzgadniania i siły szyfrowania, uwierzytelniania wiadomości, komunikatów ostrzegawczych oraz protokołu nagrywania.

W teorii, taka lista różnic wydaje się być aż nadto przytłaczająca. W praktyce – jako że TLS jest swego rodzaju następcą SSL – różnice między nimi są niewielkie. Można by powiedzieć, że dostrzec je będzie w stanie tylko osoba techniczna, która zna podstawy cyberbezpieczeństwa.

Oto porównanie różnić w SSL i TLS:

 

Zestawy szyfrów

Pierwszą różnicą, która rzuca się w oczy, jest zestaw szyfrów. Protokół SSL zapewnia obsługę zestawu Fortezza, podczas gdy protokół TLS takiej obsługi nie oferuje. I co ciekawe, wcale nie jest to jego wada! Dlaczego? TLS jest bowiem zgodny z ulepszonym procesem standaryzacji, który ułatwia definiowanie nowych zestawów szyfrów, takich jak RC4, AES czy Triple DES.

zestawy szyfrow tls

 

 

Komunikaty ostrzegawcze

Kolejną, nieco mniejszą różnicą pomiędzy TLS, a SSL, jest sposób komunikacji z klientem. SSL zawiera krótki komunikat ostrzegawczy, który brzmi: „Brak certyfikatu”. Protokół TLS nie zawiera tego komunikatu, a zamiast tego zastępuje go kilkoma innymi alertami ostrzegawczymi.

komunikaty ssl/tls

 

 

Protokół nagrywania

Protokół nagrywania jest następnym obszarem, w którym TLS i SSL nie są zgodne. SSL używa MAC (będący skrótem od Message Authentication Code) po zaszyfrowaniu komunikacji. TLS z drugiej strony korzysta z HMAC, czyli kodu uwierzytelniania wiadomości opartego na ‘skrótach’.

protokol nagrywania ssl

 

 

Proces uzgadniania

Proces uzgadniania, potocznie nazywany ‘uściskiem dłoni’, jest przez wielu uznawany za najważniejszą różnicę pomiędzy protokołem TLS, a SSL. W przypadku SSL, obliczenie skrótu obejmuje klucz główny i wypełnienie, podczas gdy w TLS skróty obliczane są już w komunikacie uzgadniania.

proces uzgadniania w polaczeniu tls

 

 

Uwierzytelnianie wiadomości

Ostatnią znaczącą różnicą w omawianych protokołach jest uwierzytelnianie wiadomości. Gdy mowa o SSL, uwierzytelnianie łączy się ze szczegółami klucza i danymi aplikacji na zasadzie ad-hoc. Gdy mowa o TLS, uwierzytelnianie opiera się na kodzie uwierzytelniania działającym na HMAC Hash.

uwierzytelnianie tls/ssl

 

 

 

Dlaczego każdy korzysta z nazwy SSL?

Powyżej dowiedziałeś się, że TLS jest po prostu nowszą wersją SSL i że obie publicznie dostępne wersje SSL są przestarzałe i zawierają poważne luki w zabezpieczeniach. To może Cię zastanawiać. Dlaczego każdy używa zwrotu „certyfikat SSL”, zamiast „certyfikat TLS”? W końcu TLS to nowoczesny protokół.

Najlepszym przykładem jesteśmy my sami. Jako firma hostingowa oferujemy certyfikaty SSL. To nie znaczy jednak, że używamy przestarzałych technologii. Wręcz przeciwnie! Oferujemy PHP 7.4, HTTP3, LiteSpeed oraz oczywiście… TLS.

nazwa ssl czy tls?

 

Dzieje się tak, ponieważ po prostu pod względem językowym „SSL” wygrało wojnę. Większość głównych dostawców certyfikatów nadal nazywa je certyfikatami SSL. Prawdopodobnie dlatego, że po angielsku ‘Secure Sockets Layer’ brzmi bardziej naturalnie, przez co podstawowa konwencja nazewnictwa utrzymuje się.

W rzeczywistości wszystkie certyfikaty bezpieczeństwa, które widzisz, są tak naprawdę certyfikatami SSL / TLS. Nie ma czegoś takiego jak certyfikat SSL lub certyfikat TLS. To jednocześnie oznacza, że zamawiając taki certyfikat, możesz korzystać zarówno z protokołu SSL, jak i TLS.

 

Czy powinienem wybrać SSL czy TLS?

Jeśli Twój usługodawca hostingowy umożliwia wybór protokołu, powinieneś zdecydować się na protokół TLS, nie SSL. W praktyce jednak rzadko kiedy otrzymujesz wybór. Większość serwerów korzysta z najnowszych wersji TLS 1.2 oraz 1.3 i ostatecznie to serwer i klient (np. przeglądarka) uzgadniają, która wersja zostanie wybrana. Najczęściej będzie to oczywiście najbardziej aktualna wersja.

Warto wiedzieć: Większość nowoczesnych przeglądarek wyświetla komunikaty, gdy napotka serwer korzystający z przestarzałych wersji SSL. Z tego powodu powinieneś wyłączyć SSL 2.0 lub 3.0 i śmiało korzystać z najnowszej wersji TLS.

 

Jak sprawdzić, czy korzystam z SSL czy TLS?

W tym miejscu musimy jeszcze raz podkreślić, że to serwer oraz klient (przeglądarka) automatycznie i samodzielnie ustalają, jaki protokół wybrać.  Możesz sprawdzić najwyższą możliwą wersję SSL/TLS, dostępną dla Twojej strony, przy pomocy testu SSL Server Test. Jeśli nie jesteś właścicielem serwera i zamiast tego wybrałeś usługi firmy hostingowej, korzystasz z protokołu TLS. 

Warto wiedzieć: Większość polskich usługodawców hostingowych zapewnia obsługę TLS w najnowszej wersji – 1.3.

 

 

 

Podsumowanie

TLS i SSL to protokoły służące do uwierzytelniania i szyfrowania danych w Internecie. Oba są ze sobą ściśle powiązane, ponieważ – po prostu -TLS jest nowocześniejszą i bardziej bezpieczną wersją SSL.

Chociaż SSL jest nadal dominującym terminem pośród Internautów, większość z nich, gdy mówi o „SSL” ma tak naprawdę na myśli „TLS”. Ten zwrot został ustandaryzowany i pomimo, że jest niepoprawny… jest poprawny.

Aby korzystać z bezpiecznego połączenia, musisz zamówić i zainstalować certyfikat SSL na swoim serwerze. Tego typu certyfikat obsługuje zarówno technologię SSL, jak i TLS.

 

 

 

Odbieramy telefony, odpisujemy na maile, nie ukrywamy kosztów, a dodatkowo oferujemy najszybsze pakiety hostingowe na rynku. Uważasz, że to zwroty marketingowe? Sprawdź sam/a!

Jeśli nie będziesz zadowolony/a, zwrócimy Ci pieniądze.
Twoje strony i sklepy przeniesiemy za darmo!

Hosting WordPressHosting Magento

Jeżeli masz jakiekolwiek pytania, skontaktuj się z nami! Kliknij tutaj.

Chcesz dowiedzieć się o nas trochę więcej? Przejdź na stronę JCHost.pl.

Daj znać znajomym!