Image credit: zviray
De chronische epidemie van gezichtsblindheid die de bevolking van Metropolis treft en voorkomt dat ze zich realiseren dat Clark Kent en de vliegende alien die op hem lijkt eigenlijk dezelfde persoon zijn, strekt zich uit tot de tech-sector waar we voortdurend discussiëren over hoe pedant we moeten zijn over het verschil tussen “SSL” en “TLS”.
Geef het gratis EBook over het pentesten van Active Directory-omgevingen
Om eerlijk te zijn is de situatie minder een “SSL komt van de aarde” en “TLS komt van Krypton” dan een zeer positief verhaal over hoe encryptiestandaarden voortdurend zijn verbeterd en hoe de verouderde en onveilige methoden voor client- en servercommunicatie zijn afgeschreven om de algehele veiligheid van het internet te verbeteren.
Wat is SSL?
Netscape heeft meer dan 20 jaar geleden versie 1.0 van het SSL-protocol (Secure Sockets Layer) ontwikkeld, zodat mensen hun browser konden gebruiken om veilig rond te cruisen op Geocities en veilig Star Trek ASCII-kunst te delen.
Zoals alle eerste pogingen om praktische cryptografie te verspreiden, bleken SSL-versies 1.0 tot en met 3.0 een aantal beveiligingsproblemen die iteratieve releases van meer en meer fundamenteel veilige ontwerpen noodzakelijk maakten.
Wat is TLS?
In 1999 werd versie 1.0 van het Transport Layer Security (TLS) protocol uitgebracht. De naamsverandering was bedoeld om duidelijk te maken dat dit een open standaard was die door elk bedrijf of project kon worden toegepast en niet een propriëtair product van Netscape (dat op dat moment nog steeds “Netscape Enterprise Server” web server software verkocht die “SSL” gebruikte voor transport encryptie). Bovendien was TLS ontworpen om onafhankelijk te zijn van toepassingsprotocollen, terwijl SSL in eerste instantie vrij beperkt was ontworpen voor HTTP-verbindingen.
What moet ik zeggen?
Linguïstisch gezien heeft de term “SSL” gewonnen in de oorlog van “Hoe moeten we dat ding noemen dat het slotje laat verschijnen en groen laat zijn?” Zie als bewijs de Google Trends vergelijking van “SSL vs TLS”.
Om deze reden wordt “SSL” de algemeen geaccepteerde algemene term wanneer je het over het algemene concept hebt – of wanneer je dit probeert uit te leggen aan een niet-technisch publiek – aangezien dit hoogstwaarschijnlijk is waar ze van hebben gehoord en de voordelen van duidelijke conceptuele communicatie meestal van het grootste belang zijn.
Als je het hebt over het protocol en over de vraag welke versies van SSL/TLS ingeschakeld moeten zijn, dan wordt noodzakelijkerwijs de voorkeur gegeven aan “TLS”, omdat de exacte versie van belang is vanwege veranderingen in de manier waarop ciphers, etc. worden behandeld.
Op praktisch niveau zijn er echter aanzienlijke veiligheids- en administratieve voordelen verbonden aan de wetenschap:
- Dat er verschillende versies van SSL/TLS bestaan.
- Dat oudere systemen geen verbinding kunnen maken met nieuwere systemen als er een protocol mismatch is. Als u zich ooit hebt afgevraagd waarom Internet Explorer op een nieuwe Windows 95-installatie geen verbinding kan maken met HTTPS-sites, dan is daar uw antwoord.
- Dat u een organisatorisch beleid zou moeten hebben om alleen latere versies van TLS in te schakelen. (TLS 1.0 is niet acceptabel voor PCI Compliance)
- Dat veel apparaten en applicaties nog steeds oudere, onveilige versies van TLS/SSL ondersteunen die u specifiek moet uitschakelen.
Ultuurlijk is de vraag ‘wat is het verschil tussen SSL vs TLS?’ een goede – al was het maar om deze praktische punten te bespreken en duidelijk te maken waarom de fijne kneepjes van beveiligingsprotocollen ertoe doen.