TLS לעומת SSL
ישנם מספר הבדלים בין SSL ל-TLS מכיוון ש-TLS הוא היורש של SLS, על כולם יידונו במאמר זה. SSL, המתייחס ל-Secure Socket Layer, הוא פרוטוקול המשמש לספק אבטחה לחיבורים בין שרת ללקוח. פרוטוקול זה משתמש במנגנוני אבטחה כגון קריפטוגרפיה וגיבוב כדי לספק שירותי אבטחה כגון סודיות, שלמות ואימות נקודת קצה לחיבורים בין שרת ללקוח. TLS, המתייחס ל-Transport Layer Security, הוא היורש של SSL, הכולל תיקוני באגים ושיפורים ביחס ל-SSL. ל-SSL, שעכשיו הוא קצת ישן, יש הרבה באגי אבטחה ידועים ומכאן שמה שמומלץ להשתמש בו הוא הגרסה העדכנית ביותר של TLS, שהיא TLS 1.2. SSL הגיע לגרסאות 3.0 ולאחר מכן השם שונה ל-TLS.
מה זה SSL?
SSL, המתייחס ל-Secure Socket Layer, הוא פרוטוקול המשמש לספק חיבורים מאובטחים בין לקוח לשרת. חיבור TCP יכול לספק קישור אמין בין שרת ללקוח אך אינו יכול לספק שירותים כגון סודיות, שלמות ואימות נקודת קצה. אז, SSL הוצג על ידי Netscape בתחילת שנות ה-90 כדי לספק שירותים אלה. הגרסה הראשונה של SSL, הידועה בשם SSL 1.0, מעולם לא שוחררה לציבור מכיוון שהיו בה פרצות אבטחה רבות. עם זאת, בשנת 1995, הוצג SSL 2.0, שסיפק אבטחה טובה יותר מ-SSL 1.0, ובשנת 1996, הוצג SSL 3.0 עם שיפורים נוספים. הגרסאות הבאות של פרוטוקול SSL הופיעו תחת השם TLS.
SSL, אשר מיושם בשכבת התעבורה, יכול לאבטח פרוטוקול כגון TCP על ידי יישום אמצעי אבטחה שונים. זה יספק סודיות על ידי שימוש בהצפנות כדי למנוע מאף אחד לצותת.הוא משתמש גם בהצפנה א-סימטרית וגם בהצפנה סימטרית. ראשית, באמצעות הצפנת מפתח א-סימטרית, נוצר מפתח הפעלה סימטרי אשר לאחר מכן ישמש להצפנת התעבורה. הצפנת מפתח א-סימטרית משמשת גם לאישורים דיגיטליים המשמשים לאימות השרת. לאחר מכן נעשה שימוש בקוד אימות הודעות, המשתמש בטכניקות גיבוב שונות, כדי לספק שלמות (זיהוי כל שינוי לא מאומת שנעשה בנתונים האמיתיים). אז פרוטוקול כמו SSL מאפשר העברת מידע רגיש כמו עסקאות בנקאיות ופרטי כרטיסי אשראי דרך האינטרנט. כמו כן, הוא משמש למתן סודיות עבור שירותים כגון דואר אלקטרוני, גלישה באינטרנט, העברת הודעות וקול על גבי IP.
SSL מיושן כעת ויש לו בעיות אבטחה רבות שבהן השימוש בו אינו מומלץ כיום. SSL 3.0 הופעל כברירת מחדל עד לאחרונה בדפדפנים רבים, אך כעת הם מתכננים להשבית בגירסאות העתידיות עקב באגי אבטחה חמורים כגון התקפת POODLE.
מה זה TLS?
TLS, המתייחס ל-Transport Layer Security, הוא היורש של SSL. לאחר SSL 3.0, הגרסה הבאה הופיעה כ-TLS 1.0 בשנת 1999. לאחר מכן, בשנת 2006, הוצגה גרסה משופרת בשם TLS 1.1. לאחר מכן, בשנת 2008, נעשו שיפורים נוספים ותיקוני באגים והוצג TLS 1.2. נכון לעכשיו, TLS 1.2 היא הגרסה האחרונה הזמינה של Transport Layer Security. בדיוק כמו SSL, TLS מספקת גם שירותי אבטחה כגון סודיות, שלמות ואימות נקודת קצה. באופן דומה נעשה שימוש בהצפנה, בקוד אימות הודעות ובאישורים דיגיטליים כדי לספק שירותי אבטחה אלה. TLS חסין מפני התקפות כגון מתקפת POODLE, שפגעה באבטחת SSL 3.0.
ההמלצה היא להשתמש בגרסת ה-TLS העדכנית ביותר, TLS 1.2, מכיוון שהיא העדכנית ביותר, יש בה הכי פחות פגמי אבטחה. כל מערכת אבטחה אינה מושלמת ועם הזמן יתגלו פגמים ובעתיד תשוחרר גרסה 1.3 של TLS שתתקן את השגיאות שזוהו. עם זאת, נכון לעכשיו, TLS 1.2 הוא המאובטח ביותר, ובכל הדפדפנים המיינסטרים, זה מופעל כברירת מחדל.
מה ההבדל בין SSL ל-TLS?
• TLS הוא היורש של SLS. SLS הוצג בשנות ה-90 ושלוש גרסאות הוצגו, כלומר SSL 1.0, SSL 2.0 ו-SSL 3.0. לאחר מכן, בשנת 1999, הגרסה הבאה של SSL נקראה TLS 1.0. אז הוצג TLS 1.1 והגרסה העדכנית ביותר הנוכחית היא TLS 1.2.
• ל-SSL יש הרבה באגים והוא רגיש להתקפות ידועות מאשר TLS. בגרסאות ה-TLS האחרונות, רוב הבאגים תוקנו ולכן הוא חסין מפני התקפות.
• ל-TLS יש תכונות חדשות ותומך באלגוריתמים חדשים בהשוואה ל-SSL.
• עם המתקפה שנקראת POODLE attack, כעת השימוש ב-SSL הפך להרבה מאוד פגיע, ובגירסאות החדשות של דפדפני אינטרנט, SSL יהיה מושבת כברירת מחדל. עם זאת, בכל הדפדפנים, TLS מופעל כברירת מחדל.
• TLS תומך בחבילות חדשות של אימות והחלפת מפתחות כמו ECDH-RSA, ECDH-ECDSA, PSK ו-SRP.
• חבילות אלגוריתם של קוד אימות הודעות כגון HMAC-SHA256/384 ו-AEAD זמינות בגרסאות ה-TLS העדכניות ביותר, אך לא ב-SSL.
• SSL פותח ונערך תחת Netscape. עם זאת, TLS נמצא תחת כוח המשימה של הנדסת אינטרנט כפרוטוקול סטנדרטי, ולכן הוא זמין תחת RFC.
• ישנם הבדלים ביישום הפרוטוקול כגון החלפת מפתחות וגזירת מפתח.
סיכום:
TLS לעומת SSL
TLS הוא היורש של SSL ומכאן ש-TLS כולל הרבה שיפורים ותיקוני באגים על פני SSL. SSL הוצג בתחילת שנות ה-90 ושלוש גרסאות הגיעו ל-SSL 3.0. ואז, בשנת 1999, הופיעה הגרסה הבאה של SSL תחת השם TLS 1.0. נכון לעכשיו, הגרסה האחרונה היא TLS 1.2. ל-SSL בהיותו פרוטוקול ישן יש הרבה באגי אבטחה ידועים ולכן הוא רגיש להתקפות ידועות כמו התקפת POODLE. הגרסה האחרונה של TLS כוללת תיקונים להתקפות אלה, בזמן שהיא תומכת גם בתכונות ואלגוריתמים חדשים. אז עבור יישומים שזקוקים לאבטחה טובה יותר, הגרסה העדכנית ביותר של TLS מומלצת במקום להשתמש בפרוטוקולי SSL ישנים.
