TLS در مقابل SSL
تعداد زیادی تفاوت بین SSL و TLS وجود دارد زیرا TLS جانشین SLS است که همه آنها در این مقاله مورد بحث قرار خواهند گرفت. SSL که به لایه سوکت امن اشاره دارد، پروتکلی است که برای تامین امنیت اتصالات بین سرور و کلاینت استفاده می شود. این پروتکل از مکانیسم های امنیتی مانند رمزنگاری و هش برای ارائه خدمات امنیتی مانند محرمانه بودن، یکپارچگی و احراز هویت نقطه پایانی برای اتصالات بین سرور و کلاینت استفاده می کند. TLS که به امنیت لایه حمل و نقل اشاره دارد، جانشین SSL است که شامل رفع اشکال و بهبودهایی نسبت به SSL است. SSL که اکنون کمی قدیمی است، دارای بسیاری از اشکالات امنیتی شناخته شده است و از این رو آنچه توصیه می شود استفاده کنید آخرین نسخه TLS است که TLS 1 است.2. SSL به نسخه 3.0 آمد و پس از آن نام به TLS تغییر یافت.
SSL چیست؟
SSL، که به لایه سوکت ایمن اشاره دارد، پروتکلی است که برای ایجاد اتصالات امن بین مشتری و سرور استفاده می شود. یک اتصال TCP می تواند یک پیوند قابل اعتماد بین یک سرور و یک کلاینت ایجاد کند، اما نمی تواند خدماتی مانند محرمانه بودن، یکپارچگی و احراز هویت نقطه پایانی را ارائه دهد. بنابراین، SSL توسط Netscape در اوایل دهه 1990 برای ارائه این خدمات معرفی شد. اولین نسخه SSL که با نام SSL 1.0 شناخته می شود، هرگز برای عموم منتشر نشد زیرا حفره های امنیتی زیادی داشت. با این حال، در سال 1995، SSL 2.0 که امنیت بهتری نسبت به SSL 1.0 ارائه می کرد، معرفی شد و در سال 1996، SSL 3.0 با پیشرفت های بیشتری معرفی شد. نسخه های بعدی پروتکل SSL با نام TLS ظاهر شد.
SSL که در لایه انتقال پیاده سازی می شود، می تواند با اعمال اقدامات امنیتی مختلف، پروتکلی مانند TCP را ایمن کند. با استفاده از رمزگذاری برای جلوگیری از استراق سمع، محرمانه بودن را فراهم می کند.از رمزگذاری نامتقارن و متقارن استفاده می کند. ابتدا با استفاده از رمزگذاری کلید نامتقارن، یک کلید جلسه متقارن ایجاد می شود که سپس برای رمزگذاری ترافیک استفاده می شود. رمزنگاری کلید نامتقارن برای گواهی های دیجیتالی که برای احراز هویت سرور استفاده می شود نیز استفاده می شود. سپس کد احراز هویت پیام، که از تکنیکهای هشسازی مختلف استفاده میکند، برای ارائه یکپارچگی (شناسایی هرگونه تغییر احراز هویت نشده در دادههای واقعی) استفاده میشود. بنابراین پروتکلی مانند SSL امکان انتقال اطلاعات حساس مانند تراکنش های بانکی و اطلاعات کارت اعتباری را از طریق اینترنت فراهم می کند. همچنین برای ارائه محرمانه بودن خدماتی مانند ایمیل، مرور وب، پیام رسانی و صدا از طریق IP استفاده می شود.
SSL اکنون منسوخ شده است و مشکلات امنیتی زیادی دارد که در حال حاضر استفاده از آن چندان توصیه نمی شود. SSL 3.0 تا همین اواخر در بسیاری از مرورگرها به طور پیش فرض فعال بود، اما اکنون آنها در حال برنامه ریزی برای غیرفعال کردن در نسخه های بعدی به دلیل اشکالات امنیتی شدید مانند حمله POODLE هستند.
TLS چیست؟
TLS که به امنیت لایه حمل و نقل اشاره دارد، جانشین SSL است. پس از SSL 3.0، نسخه بعدی با نام TLS 1.0 در سال 1999 ظاهر شد. سپس در سال 2006، نسخه بهبود یافته ای به نام TLS 1.1 معرفی شد. سپس در سال 2008 بهبودها و رفع اشکالات بیشتر انجام شد و TLS 1.2 معرفی شد. در حال حاضر، TLS 1.2 آخرین نسخه موجود امنیت لایه حمل و نقل است. درست مانند SSL، TLS نیز خدمات امنیتی مانند محرمانه بودن، یکپارچگی و احراز هویت نقطه پایانی را ارائه می دهد. به طور مشابه از رمزگذاری، کد احراز هویت پیام و گواهی های دیجیتال برای ارائه این خدمات امنیتی استفاده می شود. TLS در برابر حملاتی مانند حمله POODLE که امنیت SSL 3.0 را به خطر انداخته است مصون است.
توصیه می شود از آخرین نسخه TLS، TLS 1.2 استفاده کنید، زیرا این آخرین نسخه است که کمترین نقص امنیتی را دارد. هر سیستم امنیتی کامل نیست و با گذشت زمان ایرادات شناسایی می شود و در آینده نسخه 1.3 TLS منتشر خواهد شد که خطاهای شناسایی شده را برطرف می کند. با این حال، در حال حاضر، TLS 1.2 ایمن ترین است و در همه مرورگرهای اصلی، این به طور پیش فرض فعال است.
تفاوت بین SSL و TLS چیست؟
• TLS جانشین SLS است. SLS در دهه 1990 معرفی شد و سه نسخه SSL 1.0، SSL 2.0 و SSL 3.0 معرفی شد. پس از آن، در سال 1999، نسخه بعدی SSL با نام TLS 1.0 نامگذاری شد. سپس TLS 1.1 معرفی شد و آخرین نسخه فعلی TLS 1.2. است.
• SSL دارای اشکالات زیادی است و نسبت به TLS مستعد حملات شناخته شده است. در آخرین نسخه های TLS، بیشتر باگ ها رفع شده اند و از این رو در برابر حملات مصون است.
• TLS در مقایسه با SSL ویژگی های جدیدی دارد و از الگوریتم های جدید پشتیبانی می کند.
• با حمله ای به نام حمله POODLE، اکنون استفاده از SSL بسیار آسیب پذیر شده است و در نسخه های جدید مرورگرهای وب، SSL به طور پیش فرض غیرفعال خواهد شد. با این حال، در همه مرورگرها، TLS به طور پیش فرض فعال است.
• TLS از مجموعههای الگوریتمهای جدید احراز هویت و تبادل کلید مانند ECDH-RSA، ECDH-ECDSA، PSK و SRP پشتیبانی میکند.
• مجموعههای الگوریتم کد احراز هویت پیام مانند HMAC-SHA256/384 و AEAD در آخرین نسخههای TLS موجود هستند، اما در SSL موجود نیستند.
• SSL تحت Netscape توسعه و ویرایش شد. با این حال، TLS به عنوان یک پروتکل استاندارد تحت گروه کاری مهندسی اینترنت قرار دارد و از این رو تحت RFC در دسترس است.
• تفاوت هایی در اجرای پروتکل مانند تبادل کلید و مشتق کلید وجود دارد.
خلاصه:
TLS در مقابل SSL
TLS جانشین SSL است و از این رو TLS شامل بهبودها و رفع اشکالات زیادی نسبت به SSL است. SSL در اوایل دهه 1990 معرفی شد و سه نسخه به SSL 3.0 آمدند. سپس، در سال 1999، نسخه بعدی SSL با نام TLS 1.0 ظاهر شد. در حال حاضر آخرین نسخه TLS 1.2 است. SSL که یک پروتکل قدیمی است دارای بسیاری از اشکالات امنیتی شناخته شده است و از این رو مستعد حملات شناخته شده مانند حمله POODLE است. آخرین نسخه TLS دارای اصلاحاتی برای این حملات است در حالی که از ویژگی ها و الگوریتم های جدید نیز پشتیبانی می کند. بنابراین برای برنامههایی که به امنیت بهتری نیاز دارند، بهجای استفاده از پروتکلهای قدیمی SSL، آخرین نسخه TLS توصیه میشود.
