Transport Layer Security (TLS) היא הגרסה העדכנית ביותר של פרוטוקול Secure Socket Layer (SSL). שני הפרוטוקולים מבטיחים פרטיות ואותנטיות נתונים דרך האינטרנט. הפרוטוקולים הנפוצים הללו מספקים אבטחה מקצה לקצה על ידי החלת הצפנה עבור תקשורת מבוססת אינטרנט. עם זאת, למרות הדמיון בין TLS ו-SSL, יש להם גם הבדלים משמעותיים.

מאמר זה מסביר כיצד פועלים פרוטוקולי ההצפנה TLS ו-SSL, חשיבותם, כיצד הם שונים ומדוע זה הזמן המתאים לעבור לפרוטוקול TLS.

הרקע ההיסטורי של TLS ו-SSL

פרסם ה-Internet Engineering Task Force (IETF), הארגון האחראי לפיתוח תקני אינטרנט בקשה להערות (RFC-1984), מתוך הכרה בחשיבותה של הגנת מידע אישי באינטרנט ההולך וגדל. תאגיד התקשורת של נטסקייפ הציגה SSL לתקשורת אינטרנט מאובטחת שעברה שדרוגים מרובים.

גרסת SSL 1.0 מעולם לא שוחררה עקב ליקויי אבטחה, ו-SSL 2.0 הייתה המהדורה הציבורית הראשונה של Netscape ב-1995. עם זאת, עקב פרצות וחסרונות אבטחה, הוא הוחלף בגרסה אחרת של SSL 3.0 בנובמבר 1996. גם גרסת ה-SSL העדכנית אינה בשימוש עקב חוסר הביטחון שלה נגד מתקפת פודל באוקטובר 2014 והוצא משימוש רשמית ביוני 2015.

TLS שוחרר בשנת 1999 כפרוטוקול בלתי תלוי באפליקציה: שדרוג לגרסה 3.0 של SSL שנעשה על ידי Internet Engineering Task Force (IETF). הרעיון היה ליישם TLS על גבי TCP כדי להצפין יישומים באמצעות פרוטוקולי FTP, IMAP, SMTP ו-HTTP. לדוגמה, HTTPS היא גרסה מאובטחת של HTTP כפי שהוא מיישם TLS כדי להבטיח אספקת נתונים בטוחה על ידי הימנעות משינויי תוכן והאזנת סתר.

עבודה בסיסית של פרוטוקולי TLS/SSL

תקשורת בין גורמים (למשל, דפדפן המחשב שלך ואתר אינטרנט) מתחילה על ידי זיהוי אם זה ישלב פרוטוקול TLS/SSL או לא, כך שהלקוח יכול לציין את השימוש בהצפנת TLS או על ידי:

  • ציון יציאה התומכת בהצפנת תקשורת SSL, או
  • על ידי הגשת בקשות ספציפיות לפרוטוקול TLS

בינתיים, אתר אינטרנט דורש אישור TLS/SSL מותקן בשרת המארח שלו כדי להשתמש בפרוטוקול. צד שלישי מהימן מנפיק את האישור הקושר את המפתח הציבורי לדומיין שבו הבעלים של המפתח הפרטי ומאפשר לו להצפין/פענח את התקשורת.

לאחר הסכמה על שימוש ב-TLS/SSL לתקשורת שרת-לקוח, הוא ממשיך לבצע את לחיצת היד. לחיצת היד קובעת את המפרט הנדרש להחלפת הודעות. הסעיף הבא מסכם את סדרת חילופי המידע כדי לאפשר חיבור TLS/SSL:

  1. הצדדים מסכימים על גרסת הפרוטוקול שישתמשו, אם כן
  2. מחליט על האלגוריתמים ההצפנה או חבילת הצפנים להשתמש, אם כך
  3. מאמת את הצדדים המתקשרים עם המפתח הציבורי והחתימות הדיגיטליות שלהם של רשות האישורים המנפיקה, אם כן
  4. מחליף מפתחות הפעלה לשימוש במהלך תקשורת. גם פרוטוקולי TLS וגם פרוטוקולי SSL משתמשים בהצפנה אסימטרית ליצירת מפתחות משותפים (ציבוריים) ופרטיים.

אם הדפדפן לא יכול לאמת את אישור ה-TLS/SSL, הוא מחזיר שגיאה של "החיבור אינו פרטי".

לאחר קביעת שיטת הפענוח במהלך לחיצת היד, פרוטוקול הרשומה משתמש בהצפנה סימטרית לתקשורת לכל הפגישה. חוץ מזה, פרוטוקול הרשומה גם מצרף את ההודעה עם HMAC עבור TLS ו-MAC עבור SSL כדי להבטיח שלמות הנתונים.

לפיכך, הפרוטוקולים משיגים שלוש מטרות בסיסיות של אבטחה:

  • סודיות: מצפין נתונים כדי להסתיר אותם מצדדים שלישיים כך שרק נמען המיועד יוכל לצפות בתוכן.
  • יושרה: מחיל קוד אימות הודעה כדי לאמת תוכן הודעה מוצפן.
  • אימות: מאמת את זהות האתר/הלקוח/השרת בעזרת תעודה על מנת להבטיח שצדדים המחליפים מידע אינם יכולים לסגת מזהותם.

מה ההבדל בין TLS ל-SSL?

כפי שצוין קודם לכן, ההבדל העיקרי שאתה מבחין בין שני הפרוטוקולים הוא איך הם יוצרים קשרים. לחיצת יד של TLS משתמשת בדרך מרומזת ליצירת חיבור באמצעות פרוטוקול, בעוד ש-SSL יוצר חיבורים מפורשים עם יציאה.

ללא קשר לכל שאר ההבדלים, התכונה הבסיסית שמבדילה בין שני חיבורי ה-TLS/SSL היא השימוש בחבילת צופן שמחליטה על האבטחה הכוללת של החיבור.

החלק המהותי של חיבור TLS/SSL הוא להסכים על חבילת צופן המגדירה קבוצה של אלגוריתמים להחלפת מפתחות, אימות, הצפנה בתפזורת וקוד אימות הודעות מבוסס hash (HMAC) או אלגוריתמי קוד אימות הודעות, וכו ' לפגישה מסוימת. כל גרסת TLS/SSL תומכת בסט שונה של חבילות צופן עבור סשן התקשורת. לפיכך, כל חבילת צופן תומכת בסט משלה של אלגוריתמים המשפרים את האבטחה ואת ביצועי החיבור הכוללים.

SSL TLS
SSL הוא פרוטוקול מורכב ליישום. TLS הוא פרוטוקול פשוט יותר.
ל-SSL שלוש גרסאות, מהן SSL 3.0 העדכנית ביותר. ל-TLS ארבע גרסאות, מהן גרסת TLS 1.3 היא האחרונה
כל גרסאות פרוטוקול SSL חשופות להתקפות. פרוטוקול TLS מציע אבטחה גבוהה.
SSL משתמש בקוד אימות הודעות (MAC) לאחר הצפנת הודעות למען שלמות הנתונים TLS משתמש בקוד אימות הודעה מבוסס hash בפרוטוקול הרשומה שלו.
SSL משתמש בתמצית הודעות כדי ליצור סוד מאסטר. TLS משתמש בפונקציה פסאודו אקראית כדי ליצור סוד מאסטר.

מדוע TLS החליפה את SSL?

הצפנת TLS היא כעת נוהג סטנדרטי לאבטחת יישומי אינטרנט או נתונים במעבר מפני האזנה והתעסקות. זה לא ריאלי להניח ש-TLS הוא הפרוטוקול המאובטח ביותר מכיוון שהוא נוטה להפרות כגון פשע ו-Heartbleed ב-2012 ו-2014, אבל זה הראה הרבה שיפורים במונחים של ביצועים ו בִּטָחוֹן.

TLS מחליפה את ה-SSL, וכמעט כל גרסאות ה-SSL הוצאו משימוש עקב הפגיעויות הידועות שלה. Google Chrome הוא דוגמה אחת כזו שהפסיקה להשתמש בגרסת SSL 3.0 עוד בשנת 2014, ורוב דפדפני האינטרנט המודרניים אינם תומכים כלל ב-SSL.

השתמש ב-TLS לתקשורת מוצפנת

TLS מסייעת לאבטח מידע רגיש במעבר כגון פרטי כרטיס אשראי, מיילים, קול על IP (VOIP), העברת קבצים וסיסמאות. למרות ששני האישורים מבצעים את המשימה של הצפנת נתונים במעבר, הם שונים בפונקציונליות ואינם פועלים הדדית.

חשוב לציין ש-TLS מכונה SSL רק בגלל ש-SSL הוא המינוח הנפוץ ביותר, והנוכחות של תעודה אינה מבטיחה את השימוש בפרוטוקול TLS. חוץ מזה, אינך צריך לדאוג לגבי שינוי תעודות SSL ל-TLS מכיוון שכל מה שאתה צריך לעשות הוא להתקין את האישור על השרת מכיוון שהוא תומך בשני הפרוטוקולים ומחליט באיזה מהם להשתמש.

7 סיבות שהאתר שלך צריך תעודת SSL

זה לא משנה אם אתה מפתח בלוג צנוע או אתר מסחר אלקטרוני מלא: אתה צריך תעודת SSL. הנה כמה סיבות מעשיות לכך.

קרא הבא

לַחֲלוֹקצִיוּץאימייל
נושאים קשורים
  • טכנולוגיה מוסברת
  • בִּטָחוֹן
  • SSL
  • OpenSSL
  • אבטחה מקוונת
  • אבטחת דפדפן
  • אבטחת מידע
על הסופר
רומאיסה ניאזי (16 מאמרים שפורסמו)

Rumaisa היא סופרת עצמאית ב-MUO. היא חבשה כובעים רבים, ממתמטיקאית ועד חובבת אבטחת מידע, וכעת היא עובדת כאנליסטית SOC. תחומי העניין שלה כוללים קריאה וכתיבה על טכנולוגיות חדשות, הפצות לינוקס וכל דבר סביב אבטחת מידע.

עוד מ-Rumaisa Niazi

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

לחץ כאן כדי להירשם