Skip to content

TLS kontra SSL

29 de juli de 2021
TLS vs SSL 66e9c955138940428dbb1033aa995261

Med så många stora dataintrång i nyheterna nyligen kanske du undrar hur dina data skyddas när du är online. När du går till en webbplats för att shoppa och ange ditt kreditkortsnummer, förhoppningsvis, om några dagar, kommer ett paket till din dörr. Men vid det ögonblicket innan du trycker på Order, undrar du hur online-säkerhet fungerar?

Grunderna för online-säkerhet

I sin grundform utförs onlinesäkerhet – den säkerhet som sker mellan en dator och en webbplats – genom en serie frågor och svar. Du skriver en webbadress i en webbläsare och sedan frågar webbläsaren webbplatsen för att verifiera dess äkthet. Webbplatsen svarar med lämplig information, och efter att båda är överens, öppnas webbplatsen i webbläsaren. Bland de ställda frågorna och den information som utbyts är data om vilken typ av kryptering som skickar webbläsarinformation, datorinformation och personlig information mellan webbläsaren och webbplatsen. Dessa frågor och svar kallas handskakning. Om det handskakningen inte äger rum anses webbplatsen du försöker besöka vara osäker.

HTTP kontra HTTPS

HTTP

  • Öppet för alla att se längs vägen.
  • Lättare att ställa in och köra.
  • Ingen säkerhet för lösenord och inlämnade data.

HTTPS

  • Helt krypterad för att dölja information.
  • Kräver ytterligare serverkonfiguration.
  • Skyddar överförd information, inklusive lösenord.

En sak du kanske märker när du besöker webbplatser på webben är att vissa har en adress som börjar med http, och vissa börjar med https. HTTP betyder Hypertext Transfer Protocol; det är ett protokoll eller en uppsättning riktlinjer som anger säker kommunikation via internet. Vissa webbplatser, särskilt webbplatser där du ombeds att tillhandahålla känslig eller personligt identifierande information, kan visas https antingen i grönt eller i rött med en linje genom den. HTTPS betyder Hypertext Transfer Protocol Secure, och grönt betyder att webbplatsen har ett verifierbart säkerhetscertifikat. Röd med en linje genom det betyder att webbplatsen inte har ett säkerhetscertifikat eller att certifikatet är felaktigt eller har upphört att gälla. Här blir saker lite förvirrande. HTTP betyder inte att data som överförs mellan en dator och en webbplats är krypterad. Det betyder bara att webbplatsen som kommunicerar med webbläsaren har ett aktivt säkerhetscertifikat. Endast när en S (som i HTTPS) ingår är den data som överförs säkert, och det finns en annan teknik i bruk som gör den säkra beteckningen möjlig.

SSL kontra TLS

SSL

  • Ursprungligen utvecklat 1995.
  • Tidigare nivå av webbkryptering.
  • Släpar efter det snabbt växande internet.

TLS

  • Började som den tredje versionen av SSL.
  • Transport Layer Security.
  • Fortsatte att förbättra den kryptering som används i SSL.
  • Lade till säkerhetskorrigeringar för nya typer av attacker och säkerhetshål.

SSL var det ursprungliga säkerhetsprotokollet för att säkerställa att webbplatser och data som skickades mellan webbplatserna var säkra. Enligt GlobalSign introducerades SSL 1995 som version 2.0. Den första versionen (1.0) gjorde det aldrig till det offentliga området. Version 2.0 ersattes av version 3.0 inom ett år för att ta itu med sårbarheter i protokollet. 1999 introducerades en annan version av SSL, kallad Transport Layer Security (TLS), för att förbättra konversationshastigheten och handskakningens säkerhet. TLS är den version som för närvarande används, även om den ofta kallas SSL för enkelhets skull.

Förstå SSL-protokollet

Fördelar

  • Döljer informationsuppsättningen mellan en dator och en webbplats.
  • Skyddar inloggningsinformation.
  • Säkerställer online-köp.

Nackdelar

  • Skyddar inte mot alla hot.
  • Kan inte säkra dig på webbplatser som inte använder SSL.
  • Det går inte att dölja vilka webbplatser du besöker.

När du överväger att dela ett handslag med någon betyder det att det är en andra part inblandad. Onlinesäkerhet är ungefär på samma sätt. För att handskakningen som säkerställer säkerhet online ska ske måste det vara en andra part inblandad. Om HTTPS är det protokoll som webbläsaren använder för att säkerställa att det finns säkerhet, är den andra halvan av handskakningen det protokoll som säkerställer kryptering. Kryptering är den teknik som används för att dölja data som överförs mellan två enheter i ett nätverk. Det åstadkommes genom att förvandla igenkännbara karaktärer till oigenkännlig gibberish som kan återställas till sitt ursprungliga tillstånd med hjälp av en krypteringsnyckel. Detta åstadkoms ursprungligen genom en teknik som kallas Secure Socket Layer (SSL) säkerhet. SSL var tekniken som förvandlade all data som flyttade mellan en webbplats och en webbläsare till gibberish och sedan tillbaka till data igen. Så här fungerar det:

  • Du öppnar en webbläsare och skriver adressen till din bank.
  • Webbläsaren knackar på bankens dörr och presenterar dig.
  • Dörrvakten verifierar att du är den du säger att du är och samtycker till att släppa in dig under en uppsättning villkor.
  • Webbläsaren godkänner dessa villkor, och sedan får du komma åt bankens webbplats.

Processen upprepas när du anger ditt användarnamn och lösenord, med några ytterligare steg.

  • Du anger ditt användarnamn och lösenord för att få tillgång till ditt konto.
  • Din webbläsare säger till bankens kontoansvariga att du vill ha tillgång till ditt konto.
  • De samtalar och är överens om att om du kan tillhandahålla rätt referenser får du åtkomst. Dessa uppgifter måste dock presenteras på ett speciellt språk.
  • Webbläsaren och bankens kontoansvariga godkänner språket som ska användas.
  • Webbläsaren konverterar ditt användarnamn och lösenord till det speciella språket och skickar det till bankens kontoansvarige.
  • Kontohanteraren tar emot informationen, avkodar den och jämför dem med sina poster.
  • Om dina uppgifter matchar får du åtkomst till ditt konto.

Processen äger rum på nanosekunder, så du märker inte den tid det tar för konversationen och handskakningen att ske mellan webbläsaren och webbplatsen.

TLS-kryptering

Fördelar

  • Säkrare kryptering.
  • Döljer data mellan en dator och webbplatser.
  • Bättre handskakningsprocess vid förhandling av krypterad kommunikation.

Nackdelar

  • Ingen kryptering är perfekt.
  • Säkerställer inte automatiskt DNS.
  • Inte helt kompatibel med äldre versioner.

TLS-kryptering infördes för att förbättra datasäkerheten. Medan SSL var en bra teknik förändrades säkerheten i snabb takt, och det ledde till behovet av bättre och mer uppdaterad säkerhet. TLS byggdes inom ramen för SSL med förbättringar av algoritmerna som styr kommunikations- och handskakningsprocessen.

Vilken TLS-version är mest aktuell?

Som med SSL har TLS-kryptering fortsatt att förbättras. Den nuvarande TLS-versionen är 1.2, men TLSv1.3 har utarbetats, och vissa företag och webbläsare har använt säkerheten under korta perioder. I de flesta fall återgår de till TLSv1.2 eftersom version 1.3 fortfarande är perfekt. När den är klar kommer TLSv1.3 att medföra många säkerhetsförbättringar, inklusive förbättrat stöd för mer aktuella typer av kryptering. TLSv1.3 kommer dock också att släppa stöd för äldre versioner av SSL-protokoll och andra säkerhetsteknologier som inte längre är tillräckligt robusta för att säkerställa korrekt säkerhet och kryptering av personuppgifter.