Image credit: zviray
Przewlekła epidemia ślepoty na twarz, która dotyka mieszkańców Metropolis i uniemożliwia im uświadomienie sobie, że Clark Kent i latający kosmita, który wygląda tak samo jak on, są w rzeczywistości tą samą osobą, rozciąga się na sektor technologiczny, w którym nieustannie spieramy się o to, jak pedantycznie należy traktować różnicę pomiędzy „SSL” i „TLS”.
Zdobądź darmową książkę Pen Testing Active Directory Environments EBook
By być uczciwym, sytuacja jest mniej z „SSL jest z Ziemi” i „TLS jest z Kryptona” niż bardzo pozytywną historią o tym, jak standardy szyfrowania były stale ulepszane i jak przestarzałe i niezabezpieczone metody komunikacji klienta i serwera zostały zdeprecjonowane, aby zwiększyć ogólne bezpieczeństwo Internetu.
Co to jest SSL?
Netscape opracował wersję 1.0 protokołu Secure Sockets Layer (SSL) ponad 20 lat temu, aby ludzie mogli używać swoich przeglądarek do bezpiecznego poruszania się po Geocities i dzielenia się sztuką Star Trek ASCII.
Podobnie jak wszystkie pierwsze próby wprowadzenia praktycznej kryptografii, wersje SSL od 1.0 do 3.0 miały pewne problemy z bezpieczeństwem, które wymagały iteracyjnego wypuszczania coraz bardziej bezpiecznych projektów.
Czym jest TLS?
W 1999 roku wydano wersję 1.0 protokołu Transport Layer Security (TLS). Zmiana nazwy miała na celu wyjaśnienie, że jest to otwarty standard, który może być stosowany przez każdą firmę lub projekt, a nie zastrzeżony produkt firmy Netscape (która w tamtym czasie nadal sprzedawała oprogramowanie serwera WWW „Netscape Enterprise Server”, używające „SSL” do szyfrowania transportu). Co więcej, TLS został zaprojektowany jako niezależny od protokołów aplikacji, podczas gdy SSL był początkowo zaprojektowany dość wąsko dla połączeń HTTP.
Which One Should I Say?
Językowo, termin „SSL” wygrał w wojnie „Jak powinniśmy nazwać rzecz, która sprawia, że zamek pojawia się i jest zielony?”. Jako dowód, zobacz porównanie Google Trends „SSL vs TLS”.
Z tego powodu, za każdym razem, gdy mówisz o ogólnej koncepcji – lub gdy próbujesz wyjaśnić to nietechnicznej publiczności – „SSL” staje się powszechnie akceptowanym terminem, ponieważ jest to najprawdopodobniej to, o czym słyszeli, a korzyści z jasnej komunikacji koncepcyjnej są zazwyczaj najważniejsze.
Gdy mówisz o protokole i o tym, które wersje SSL/TLS powinny być włączone, „TLS” jest z konieczności preferowane, ponieważ dokładna wersja ma znaczenie ze względu na zmiany w sposobie obsługi szyfrów itp.
Na poziomie praktycznym, istnieją jednak znaczące korzyści dla bezpieczeństwa i administracji wynikające z wiedzy o tym, że:
- Istnieją różne wersje SSL/TLS.
- Że starsze systemy nie mogą połączyć się z nowszymi, jeśli protokół jest niedopasowany. Jeśli kiedykolwiek zastanawiałeś się, dlaczego Internet Explorer na nowej instalacji Windows 95 nie może połączyć się ze stronami HTTPS, oto Twoja odpowiedź.
- Powinieneś mieć politykę organizacyjną polegającą na włączaniu tylko późniejszych wersji TLS. (TLS 1.0 nie jest akceptowalny dla zgodności z PCI)
- Wiele urządzeń i aplikacji nadal obsługuje starsze, niezabezpieczone wersje TLS/SSL, które należy specjalnie wyłączyć.
W końcu, pytanie „jaka jest różnica między SSL a TLS?” jest świetnym pytaniem – choćby po to, aby omówić te praktyczne punkty i wyjaśnić, dlaczego najdrobniejsze szczegóły protokołów bezpieczeństwa mają znaczenie.