TLS vs SSL
Hi ha una sèrie de diferències entre SSL i TLS, ja que TLS és el successor de SLS, tot això es parlarà en aquest article. SSL, que fa referència a Secure Socket Layer, és un protocol utilitzat per proporcionar seguretat a les connexions entre un servidor i un client. Aquest protocol utilitza mecanismes de seguretat com ara criptografia i hash per proporcionar serveis de seguretat com ara confidencialitat, integritat i autenticació de punt final a les connexions entre un servidor i un client. TLS, que fa referència a Transport Layer Security, és el successor de SSL, que inclou correccions d'errors i millores respecte a SSL. SSL, que ara és una mica antic, té molts errors de seguretat coneguts i, per tant, el que es recomana utilitzar és la darrera versió de TLS, que és TLS 1.2. SSL va arribar a les versions 3.0 i després el nom es va canviar a TLS.
Què és SSL?
SSL, que fa referència a Secure Socket Layer, és un protocol utilitzat per proporcionar connexions segures entre un client i un servidor. Una connexió TCP pot proporcionar un enllaç fiable entre un servidor i un client, però no pot proporcionar serveis com ara la confidencialitat, la integritat i l'autenticació del punt final. Per tant, SSL va ser introduït per Netscape a principis dels anys noranta per oferir aquests serveis. La primera versió de SSL, que es coneix com SSL 1.0, no es va publicar mai perquè tenia molts forats de seguretat. Tanmateix, l'any 1995 es va introduir SSL 2.0, que proporcionava una millor seguretat que SSL 1.0, i, el 1996, es va introduir SSL 3.0 amb més millores. Les següents versions del protocol SSL van aparèixer amb el nom de TLS.
SSL, que s'implementa a la capa de transport, pot assegurar un protocol com ara TCP aplicant diverses mesures de seguretat. Proporcionarà confidencialitat mitjançant l'ús de xifratge per evitar que ningú escolti. Utilitza xifratge tant asimètric com simètric. En primer lloc, utilitzant el xifrat de clau asimètrica, s'estableix una clau de sessió simètrica que després s'utilitzaria per xifrar el trànsit. La criptografia de clau asimètrica també s'utilitza per als certificats digitals utilitzats per autenticar el servidor. A continuació, s'utilitza el codi d'autenticació de missatges, que utilitza diverses tècniques de hash, per proporcionar integritat (identificar qualsevol modificació no autenticada feta a les dades reals). Per tant, un protocol com SSL permet transmetre informació sensible com ara transaccions bancàries i informació de targetes de crèdit a través d'Internet. A més, s'utilitza per proporcionar confidencialitat a serveis com ara el correu electrònic, la navegació web, la missatgeria i la veu per IP.
SSL ara està obsolet i té molts problemes de seguretat on no es recomana gaire el seu ús actualment. SSL 3.0 estava habilitat de manera predeterminada fins fa poc en molts navegadors, però ara tenen previst desactivar-lo en les futures versions a causa d'errors de seguretat greus com l'atac POODLE.
Què és TLS?
TLS, que fa referència a la seguretat de la capa de transport, és el successor de SSL. Després de SSL 3.0, la següent versió va sorgir com a TLS 1.0 el 1999. Després, el 2006, es va introduir una versió millorada anomenada TLS 1.1. Després, el 2008, es van fer més millores i correccions d'errors i es va introduir TLS 1.2. Actualment, TLS 1.2 és l'última versió de seguretat de la capa de transport disponible. Igual que SSL, TLS també ofereix serveis de seguretat com ara la confidencialitat, la integritat i l'autenticació del punt final. De la mateixa manera, el xifratge, el codi d'autenticació de missatges i els certificats digitals s'utilitzen per proporcionar aquests serveis de seguretat. TLS és immune a atacs com l'atac POODLE, que ha compromès la seguretat de SSL 3.0.
La recomanació és utilitzar l'última versió de TLS, TLS 1.2, ja que al ser l'última té menys defectes de seguretat. Qualsevol sistema de seguretat no és perfecte i amb el temps es detectarien defectes i en el futur es llançarà la versió 1.3 de TLS que solucionarà els errors detectats. Tanmateix, actualment, TLS 1.2 és el més segur i, a tots els navegadors convencionals, està activat de manera predeterminada.
Quina diferència hi ha entre SSL i TLS?
• TLS és el successor de SLS. SLS es va introduir a la dècada de 1990 i s'han introduït tres versions, a saber, SSL 1.0, SSL 2.0 i SSL 3.0. Després d'això, el 1999, la següent versió de SSL es va anomenar TLS 1.0. Després es va introduir TLS 1.1 i l'última versió actual és TLS 1.2.
• SSL té molts errors i és susceptible a atacs coneguts que TLS. A les últimes versions de TLS, la majoria dels errors s'han corregit i, per tant, és immune als atacs.
• TLS té funcions noves i admet algorismes nous en comparació amb SSL.
• Amb l'atac anomenat atac POODLE, ara l'ús de SSL s'ha tornat molt vulnerable i, en les noves versions dels navegadors web, SSL estarà desactivat per defecte. Tanmateix, a tots els navegadors, TLS està activat de manera predeterminada.
• TLS admet noves suites d'algorismes d'intercanvi de claus i autenticació com ara ECDH-RSA, ECDH-ECDSA, PSK i SRP.
• Les suites d'algoritmes de codi d'autenticació de missatges, com ara HMAC-SHA256/384 i AEAD, estan disponibles a les últimes versions de TLS, però no a SSL.
• SSL es va desenvolupar i editar sota Netscape. Tanmateix, TLS es troba sota el grup de treball d'enginyeria d'Internet com a protocol estàndard i, per tant, està disponible a RFC.
• Hi ha diferències en la implementació del protocol, com ara l'intercanvi de claus i la derivació de claus.
Resum:
TLS vs SSL
TLS és el successor de SSL i, per tant, TLS inclou moltes millores i correccions d'errors sobre SSL. SSL es va introduir a principis de la dècada de 1990 i tres versions van arribar a SSL 3.0. Aleshores, el 1999, la següent versió de SSL va aparèixer amb el nom de TLS 1.0. Actualment, l'última versió és TLS 1.2. Com que SSL és un protocol antic té molts errors de seguretat coneguts i, per tant, és susceptible a atacs coneguts com l'atac POODLE. La darrera versió de TLS té solucions per a aquests atacs, alhora que també admet noves funcions i algorismes. Per tant, per a les aplicacions que necessiten una millor seguretat, es recomana la darrera versió de TLS en lloc d'utilitzar protocols SSL antics.