TLS versus SSL: wat is het verschil en hoe werkt het?

Transport Layer Security (TLS) is de nieuwste versie van het Secure Socket Layer (SSL)-protocol. Beide protocollen zorgen voor gegevensprivacy en authenticiteit via internet. Deze veelgebruikte protocollen bieden end-to-end beveiliging door versleuteling toe te passen voor webgebaseerde communicatie. Ondanks de overeenkomsten tussen TLS en SSL, hebben ze echter ook aanzienlijke verschillen.

In dit artikel wordt uitgelegd hoe de TLS- en SSL-coderingsprotocollen werken, hoe belangrijk ze zijn, hoe ze verschillen en waarom het het juiste moment is om over te schakelen naar het TLS-protocol.

De historische achtergrond van TLS en SSL

De Internet Engineering Task Force (IETF), de organisatie die verantwoordelijk is voor de ontwikkeling van internetstandaarden, heeft gepubliceerd Verzoek om commentaar (RFC-1984), erkennend het belang van de bescherming van persoonsgegevens in het groeiende internet. De Netscape Communication Corporation introduceerde SSL om webcommunicatie te beveiligen, die meerdere upgrades heeft ondergaan.

De SSL 1.0-versie is nooit uitgebracht vanwege beveiligingsfouten en SSL 2.0 was de eerste openbare release van Netscape in 1995. Vanwege beveiligingsproblemen en nadelen werd het echter in november 1996 vervangen door een andere SSL-versie 3.0. De nieuwste SSL-versie is ook niet in gebruik vanwege de onveiligheid tegen de POODLE-aanval in oktober 2014 en werd officieel afgeschaft in juni 2015.

TLS werd in 1999 uitgebracht als een applicatie-onafhankelijk protocol: een upgrade naar SSL-versie 3.0 gemaakt door Internet Engineering Task Force (IETF). Het idee was om TLS over TCP te implementeren om applicaties te versleutelen met FTP-, IMAP-, SMTP- en HTTP-protocollen. Bijvoorbeeld, HTTPS is een beveiligde versie van HTTP omdat het TLS implementeert om veilige gegevenslevering te garanderen door inhoudswijzigingen en afluisteren te voorkomen.

Basiswerking van TLS/SSL-protocollen

Communicatie tussen partijen (bijv. uw computerbrowser en een website) wordt gestart door te identificeren of het al dan niet het TLS/SSL-protocol zal opnemen, zodat de klant het gebruik van TLS-codering kan specificeren door:

• Een poort specificeren die SSL-communicatiecodering ondersteunt, of
• Door TLS-protocolspecifieke verzoeken te doen

Ondertussen, een website vereist een TLS/SSL-certificaat geïnstalleerd op de hostingserver om het protocol te gebruiken. Een vertrouwde derde partij geeft het certificaat uit waarmee de openbare sleutel wordt gekoppeld aan het domein dat: is eigenaar van de privésleutel en stelt het in staat om de communicatie te coderen/decoderen.

Na akkoord te zijn gegaan met het gebruik van TLS/SSL voor client-servercommunicatie, gaat het verder met het uitvoeren van de handshake. De handshake stelt de specificaties vast die nodig zijn om berichten uit te wisselen. Het volgende gedeelte geeft een overzicht van de reeks informatie-uitwisselingen om TLS/SSL-verbinding mogelijk te maken:

1. De partijen komen overeen welke versie van het protocol ze zullen gebruiken, en dan
2. Bepaalt welke cryptografische algoritmen of de te gebruiken coderingssuite, dan
3. Authenticeert communicerende partijen met hun openbare sleutel en digitale handtekeningen van de uitgevende certificeringsinstantie, dan
4. Wisselt sessiesleutels uit voor gebruik tijdens communicatie. Zowel TLS- als SSL-protocollen gebruiken asymmetrische cryptografie om gedeelde (openbare) en privésleutels te genereren.

Als de browser het TLS/SSL-certificaat niet kan valideren, wordt de fout 'Verbinding is niet privé' geretourneerd.

Na het vaststellen van de decoderingsmethode tijdens de handdruk, wordt het recordprotocol maakt gebruik van symmetrische encryptie voor communicatie voor de hele sessie. Bovendien voegt het recordprotocol het bericht ook toe aan de HMAC voor TLS en MAC voor SSL om de gegevensintegriteit te waarborgen.

Daarom bereiken de protocollen drie fundamentele beveiligingsdoelen:

• Vertrouwelijkheid: Versleutelt gegevens om deze voor derden te verbergen, zodat alleen een beoogde ontvanger de inhoud kan bekijken.
• Integriteit: Past berichtverificatiecode toe om versleutelde berichtinhoud te verifiëren.
• authenticatie: Verifieert de identiteit van de website/client/server met behulp van een certificaat om ervoor te zorgen dat partijen die informatie uitwisselen hun identiteit niet kunnen terugtrekken.

Wat is het verschil tussen TLS en SSL?

Zoals eerder vermeld, is het belangrijkste verschil dat u opmerkt tussen beide protocollen hoe ze verbindingen tot stand brengen. TLS-handshake gebruikt een impliciete manier om een ​​verbinding tot stand te brengen via een protocol, terwijl SSL expliciete verbindingen maakt met een poort.

Ongeacht alle andere verschillen, is het fundamentele kenmerk dat beide TLS/SSL-verbindingen onderscheidt, het gebruik van een coderingssuite die de algehele beveiliging van de verbinding bepaalt.

Het essentiële onderdeel van een TLS/SSL-verbinding is om overeenstemming te bereiken over een coderingssuite die een reeks algoritmen voor sleuteluitwisseling definieert, authenticatie, bulkcodering en een op hash gebaseerde berichtauthenticatiecode (HMAC) of berichtauthenticatiecode-algoritmen, enzovoort. voor een bepaalde sessie. Elke TLS/SSL-versie ondersteunt een andere set coderingssuites voor de communicatiesessie. Daarom ondersteunt elke coderingssuite zijn eigen set algoritmen die de beveiliging en de algehele verbindingsprestaties verbeteren.

SSL	TLS
SSL is een complex protocol om te implementeren.	TLS is een eenvoudiger protocol.
SSL kent drie versies, waarvan SSL 3.0 de nieuwste is.	TLS heeft vier versies, waarvan de TLS 1.3-versie de nieuwste is
Alle versies van het SSL-protocol zijn kwetsbaar voor aanvallen.	Het TLS-protocol biedt een hoge beveiliging.
SSL gebruikt een berichtverificatiecode (MAC) na berichtversleuteling voor gegevensintegriteit	TLS gebruikt een op hash gebaseerde berichtverificatiecode in het opnameprotocol.
SSL gebruikt message digest om een ​​hoofdgeheim te creëren.	TLS gebruikt een pseudo-willekeurige functie om een ​​hoofdgeheim te creëren.

Waarom heeft TLS SSL vervangen?

TLS-codering is nu een standaardpraktijk om webapplicaties of in-transitgegevens te beveiligen tegen afluisteren en sabotage. Het is onrealistisch om TLS aan te nemen als het veiligste protocol, omdat het gevoelig is voor inbreuken zoals misdaad en Heartbleed in 2012 en 2014, maar het heeft veel verbeteringen laten zien op het gebied van prestaties en beveiliging.

TLS vervangt SSL en bijna alle SSL-versies zijn nu verouderd vanwege de bekende kwetsbaarheden. Google Chrome is zo'n voorbeeld dat in 2014 stopte met het gebruik van de SSL 3.0-versie, en de meeste moderne webbrowsers ondersteunen SSL helemaal niet.

TLS gebruiken voor versleutelde communicatie

TLS helpt bij het beveiligen van gevoelige informatie tijdens het transport, zoals creditcardgegevens, e-mails, voice over IP (VOIP), bestandsoverdracht en wachtwoorden. Hoewel beide certificaten de taak van gegevenscodering tijdens het transport uitvoeren, verschillen ze in functionaliteit en zijn ze niet interoperabel.

Het is belangrijk op te merken dat TLS alleen SSL wordt genoemd omdat SSL de meest gebruikte terminologie is en de aanwezigheid van een certificaat het gebruik van het TLS-protocol niet garandeert. Bovendien hoeft u zich geen zorgen te maken over het wijzigen van SSL- naar TLS-certificaten, aangezien u alleen het certificaat op de server hoeft te installeren, aangezien deze beide protocollen ondersteunt en beslist welke u wilt gebruiken.

7 redenen waarom uw site een SSL-certificaat nodig heeft

Het maakt niet uit of je een bescheiden blog of een volledige eCommerce-site ontwikkelt: je hebt een SSL-certificaat nodig. Hier zijn enkele praktische redenen waarom.

Lees volgende

Over de auteur