SSL לעומת
תקשורת דרך רשתות או אינטרנט עלולה להיות מאוד לא בטוחה אם אמצעי האבטחה המתאימים לא יהיו במקום. זה יכול להיות קריטי עבור יישומים כמו עסקאות תשלום באינטרנט, ולגרום להפסדים של מיליוני דולרים ללקוח ולארגון. כאן נכנסים לתמונה SSL ו-HTTPS. SSL הוא פרוטוקול קריפטוגרפי המשמש לספק אבטחה לתקשורת מעל שכבת התחבורה. HTTPS הוא שילוב של HTTP ו-SSL שיכול ליצור ערוצים מאובטחים על גבי רשתות לא מאובטחות.
מה זה SSL?
SSL (שכבת שקע מאובטח) הוא פרוטוקול קריפטוגרפי המשמש לספק אבטחה לתקשורת המתרחשת דרך האינטרנט. SSL משתמש בהצפנה אסימטרית כדי לשמור על פרטיות וקודי אימות הודעות כדי להבטיח את האמינות של כל חיבורי הרשת מעל שכבת התחבורה. SSL נמצא בשימוש נרחב עבור גלישה באינטרנט, דואר אלקטרוני, פקסים דרך האינטרנט, IM (הודעות מיידיות) ו-VoIP (Voce-over-IP). SSL פותח על ידי Netscape Corporation והוא הוחל על ידי TLS (Transport Layer Security). SSL 2.0 שוחרר בשנת 1995 (גרסה 1.0 מעולם לא שוחררה לציבור), וגרסה 3.0 (שוחררה שכבת שנה) החליפה את גרסה 2.0 (שהיו לה מספר פגמי אבטחה משמעותיים). מאוחר יותר, TLS הוצג כ-SSL 3.1. הגרסה הנוכחית היא SSL 3.3, אשר מזוהה בעיקר כ-TLS 1.2. SSL עוטף את פרוטוקולי שכבת היישומים כמו HTTP, FTP ו-SMTP על ידי יישום על גבי שכבת התחבורה. באופן מסורתי נעשה בו שימוש עם TCP (פרוטוקול בקרת שידור) ובמידה פחותה עם UDP (פרוטוקול משתמש Datagram). SSL משמש עם HTTP להשגת HTTPS, המשתמש בתעודות מפתח ציבורי כדי לזהות נקודות קצה עבור היישומים כגון מסחר אלקטרוני.
מה זה
HTTPS (HTTP Secure) הוא פרוטוקול שנוצר על ידי שילוב פרוטוקולי HTTP (HyeperText Transfer Protocol) ו-SSL/TLS. HTTPS מספק תקשורת מאובטחת על ידי הצפנה ומזהה נקודות קצה של החיבורים מה שהופך אותו לאידיאלי עבור יישומים כמו מעברי תשלום ב- WWW (World Wide Web) או עסקאות רגישות בתאגידים. בעיקרון, HTTPS יכול ליצור חיבור מאובטח דרך רשת לא מאובטחת. אם חבילות הצופן בשימוש מתאימות ותעודות השרת מהימנות, אז ערוצי HTTPS מאובטחים אלה יגנו מפני האזנות והתקפות Man-in-the-Middle. אבל, גם אם נעשה שימוש ב-HTTPS, המשתמש יכול להבטיח שהערוץ מאובטח במלואו רק אם מתקיימים כל התנאים הבאים: הדפדפן מיישם HTTPS בצורה נכונה עם CAs (רשויות אישורים), CA מבטיחים רק אתרים לגיטימיים, האישור שסופק על ידי האתר תקף, אתר האינטרנט מזוהה כהלכה על ידי התעודה ולבסוף, כשות ביניים מהימנות.כל הדפדפנים המודרניים מזהירים משתמשים אם הם מקבלים אישורים לא חוקיים מאתרי האינטרנט. כמובן, למשתמש ניתנת האפשרות להמשיך הלאה על אחריותה בלבד.
מה ההבדל בין SSL ל-HTTPS?
ההבדל העיקרי בין SSL ו-HTTPS הוא ש-SSL הוא פרוטוקול קריפטוגרפי, בעוד ש-HTTPS הוא פרוטוקול שנוצר המשלב HTTP ו-SSL. אבל, לפעמים, HTTPS אינו מזוהה כפרוטוקול כשלעצמו, אלא כמנגנון שרק משתמש ב-HTTP על פני חיבורי SSL מוצפנים. במילים אחרות, HTTPS משתמש ב-SSL כדי ליצור חיבור HTTP מאובטח. בגלל ההצפנה שמסופקת על ידי SSL, HTTPS מסוגל לעמוד בהאזנות והתקפות של אדם באמצע.
