TLS lwn SSL
Terdapat beberapa perbezaan antara SSL dan TLS kerana TLS ialah pengganti SLS, semuanya akan dibincangkan dalam artikel ini. SSL, yang merujuk kepada Secure Socket Layer, ialah protokol yang digunakan untuk menyediakan keselamatan kepada sambungan antara pelayan dan klien. Protokol ini menggunakan mekanisme keselamatan seperti kriptografi dan pencincangan untuk menyediakan perkhidmatan keselamatan seperti kerahsiaan, integriti dan pengesahan titik akhir kepada sambungan antara pelayan dan pelanggan. TLS, yang merujuk kepada Keselamatan Lapisan Pengangkutan, ialah pengganti SSL, yang termasuk pembetulan pepijat dan penambahbaikan ke atas SSL. SSL, kini agak lama, mempunyai banyak pepijat keselamatan yang diketahui dan oleh itu apa yang disyorkan untuk digunakan ialah versi terkini TLS, iaitu TLS 1.2. SSL muncul kepada versi 3.0 dan selepas itu nama itu ditukar kepada TLS.
Apakah itu SSL ?
SSL, yang merujuk kepada Secure Socket Layer, ialah protokol yang digunakan untuk menyediakan sambungan selamat antara klien dan pelayan. Sambungan TCP boleh menyediakan pautan yang boleh dipercayai antara pelayan dan pelanggan tetapi tidak dapat menyediakan perkhidmatan seperti kerahsiaan, integriti dan pengesahan titik akhir. Jadi, SSL telah diperkenalkan oleh Netscape pada awal 1990-an untuk menyediakan perkhidmatan ini. Versi pertama SSL, yang dikenali sebagai SSL 1.0, tidak pernah dikeluarkan kepada umum kerana ia mempunyai banyak lubang keselamatan. Walau bagaimanapun, pada tahun 1995, SSL 2.0, yang menyediakan keselamatan yang lebih baik daripada SSL 1.0, telah diperkenalkan dan, pada tahun 1996, SSL 3.0 telah diperkenalkan dengan lebih banyak penambahbaikan. Versi protokol SSL yang seterusnya muncul di bawah nama TLS.
SSL, yang dilaksanakan dalam lapisan pengangkutan, boleh menjamin protokol seperti TCP dengan menggunakan pelbagai langkah keselamatan. Ia akan memberikan kerahsiaan dengan menggunakan penyulitan untuk menghalang sesiapa daripada mencuri dengar. Ia menggunakan kedua-dua penyulitan asimetri dan simetri. Pertama, menggunakan penyulitan kunci asimetri, kunci sesi simetri diwujudkan yang kemudiannya akan digunakan untuk menyulitkan trafik. Kriptografi kunci asimetri juga digunakan untuk sijil digital yang digunakan untuk mengesahkan pelayan. Kemudian Kod Pengesahan Mesej, yang menggunakan pelbagai teknik pencincangan, digunakan untuk memberikan integriti (mengenal pasti sebarang pengubahsuaian yang tidak disahkan yang dilakukan kepada data sebenar). Jadi protokol seperti SSL membenarkan penghantaran maklumat sensitif seperti transaksi bank dan maklumat kad kredit melalui internet. Selain itu, ia digunakan untuk menyediakan kerahsiaan untuk perkhidmatan seperti e-mel, penyemakan imbas web, pemesejan dan suara melalui IP.
SSL kini sudah lapuk dan mempunyai banyak isu keselamatan di mana penggunaannya tidak disyorkan pada masa ini. SSL 3.0 telah didayakan secara lalai sehingga baru-baru ini dalam banyak penyemak imbas tetapi kini mereka merancang untuk melumpuhkan dalam versi akan datang disebabkan oleh pepijat keselamatan yang teruk seperti serangan PODLE.
Apakah itu TLS?
TLS, yang merujuk kepada Keselamatan Lapisan Pengangkutan, ialah pengganti SSL. Selepas SSL 3.0, versi seterusnya muncul sebagai TLS 1.0 pada tahun 1999. Kemudian, pada tahun 2006, versi yang lebih baik dinamakan sebagai TLS 1.1 telah diperkenalkan. Kemudian, pada tahun 2008, penambahbaikan lanjut dan pembetulan pepijat telah dilakukan dan TLS 1.2 telah diperkenalkan. Pada masa ini, TLS 1.2 ialah versi Transport Layer Security terkini yang tersedia. Sama seperti SSL, TLS juga menyediakan perkhidmatan keselamatan seperti kerahsiaan, integriti dan pengesahan titik akhir. Begitu juga penyulitan, kod pengesahan mesej dan sijil digital digunakan untuk menyediakan perkhidmatan keselamatan ini. TLS kebal terhadap serangan seperti serangan PODLE, yang telah menjejaskan keselamatan SSL 3.0.
Syornya ialah menggunakan versi TLS terbaharu, TLS 1.2, kerana ia yang terkini mempunyai kelemahan keselamatan paling rendah. Mana-mana sistem keselamatan tidak sempurna dan dengan masa kelemahan akan dikesan dan pada masa hadapan TLS versi 1.3 akan dikeluarkan yang akan membetulkan ralat yang dikesan tersebut. Walau bagaimanapun, pada masa ini, TLS 1.2 adalah yang paling selamat dan, dalam semua penyemak imbas arus perdana, ini didayakan secara lalai.
Apakah perbezaan antara SSL dan TLS?
• TLS ialah pengganti SLS. SLS telah diperkenalkan pada tahun 1990-an dan tiga versi telah diperkenalkan iaitu SSL 1.0, SSL 2.0 dan SSL 3.0. Selepas itu, pada tahun 1999, versi SSL seterusnya dinamakan sebagai TLS 1.0. Kemudian TLS 1.1 diperkenalkan dan versi terkini semasa ialah TLS 1.2.
• SSL mempunyai banyak pepijat dan terdedah kepada serangan yang diketahui berbanding TLS. Dalam versi TLS terkini, kebanyakan pepijat telah dibetulkan dan oleh itu kebal terhadap serangan.
• TLS mempunyai ciri baharu dan menyokong algoritma baharu jika dibandingkan dengan SSL.
• Dengan serangan yang dipanggil serangan POODLE, kini penggunaan SSL telah menjadi sangat terdedah dan, dalam versi baharu pelayar web, SSL akan dilumpuhkan secara lalai. Walau bagaimanapun, dalam semua penyemak imbas, TLS didayakan secara lalai.
• TLS menyokong suite algoritma pengesahan dan pertukaran kunci baharu seperti ECDH-RSA, ECDH-ECDSA, PSK dan SRP.
• Suite Algoritma Kod Pengesahan Mesej seperti HMAC-SHA256/384 dan AEAD tersedia dalam versi TLS terkini, tetapi tidak dalam SSL.
• SSL dibangunkan dan diedit di bawah Netscape. Walau bagaimanapun, TLS berada di bawah Pasukan Petugas Kejuruteraan Internet sebagai protokol standard dan oleh itu tersedia di bawah RFC.
• Terdapat perbezaan dalam pelaksanaan protokol seperti dalam pertukaran kunci dan terbitan kunci.
Ringkasan:
TLS lwn SSL
TLS ialah pengganti SSL dan oleh itu TLS menyertakan banyak penambahbaikan dan pembetulan pepijat ke atas SSL. SSL telah diperkenalkan pada awal 1990-an dan tiga versi muncul untuk SSL 3.0. Kemudian, pada tahun 1999, versi SSL seterusnya muncul di bawah nama TLS 1.0. Pada masa ini, versi terkini ialah TLS 1.2. SSL sebagai protokol lama mempunyai banyak pepijat keselamatan yang diketahui dan oleh itu terdedah kepada serangan yang diketahui seperti serangan POODLE. Versi terkini TLS mempunyai pembetulan pada serangan ini sementara ia turut menyokong ciri dan algoritma baharu. Jadi untuk aplikasi yang memerlukan keselamatan yang lebih baik, versi terkini TLS disyorkan daripada menggunakan protokol SSL lama.