SSL и TLS – взаимозаменяемые аббревиатуры, когда их ставят рядом с термином “сертификат”, но, по сути, это разные криптографические протоколы, предназначенные для выполнения одной и той же задачи. В этом руководстве “SSL vs TLS” мы подробно рассмотрим каждый протокол и его отличительные особенности, чтобы Вы знали, в чем разница между SSL и TLS.
Прежде чем мы погрузимся в технические аспекты SSL и TLS, давайте посмотрим на всю индустрию SSL с высоты птичьего полета и поймем, почему она играет важнейшую роль в современной веб-безопасности.
Оглавление
- Что такое сертификаты SSL/TLS?
- Краткая история сертификатов SSL/TLS
- В чем разница между сертификатами SSL и TLS?
- В чем разница между SSL и TLS шифрованием?
- Что более безопасно, SSL или TLS?
- Если SSL теперь TLS, почему мы не называем их TLS-сертификатами?
Что такое сертификаты SSL/TLS?
Сертификат SSL/TLS – это небольшой цифровой файл, который защищает конфиденциальные данные, передаваемые по сети между двумя компьютерными приложениями. А поскольку Интернет – это самая большая компьютерная сеть, SSL-сертификаты являются неотъемлемым элементом любого веб-сайта.
По умолчанию вся информация, которой пользователи делятся с веб-сайтом, передается в виде обычного текста от браузера к веб-серверу по протоколу HTTP (Hypertext Transfer Protocol). Этот клиент-серверный протокол уязвим для киберугроз, особенно для атак типа “человек посередине”, которые могут перехватить и украсть конфиденциальные данные, например, номера кредитных карт. Чтобы предотвратить это, ученые-компьютерщики изобрели протоколы SSL и TLS, которым следуют цифровые сертификаты. Вот как все это работает на практике:
Допустим, у Вас есть интернет-магазин, в котором продаются кристаллы. Когда покупатели приходят на Вашу страницу оформления заказа, они заполняют платежные данные и нажимают кнопку “Купить”. Теперь вся информация о них поступает непосредственно из браузера на Ваш сервер. Если протокол HTTPS включен, то для потенциального хакера данные будут выглядеть как строка случайных символов, а не реальные имена, адреса и номера кредитных карт.
Взлом шифрования SSL/TLS находится за пределами человеческих возможностей. Вот почему SSL-сертификаты теперь обязательны для каждого сайта. Без него браузеры будут отмечать соединения как небезопасные. Хуже того, сайт не появится на страницах результатов поисковых систем.
Как получить SSL-сертификат? Вы получаете его от Центра сертификации– сторонней организации, которая подтверждает право собственности на домен и, если требуется, юридический статус компании. Далее Вы устанавливаете/загружаете файлы сертификата на сервер Вашего сайта и активируете защищенный протокол HTTPS. Вот и все! Ваш сайт в безопасности, а данные пользователей – в безопасности.
Краткая история сертификатов SSL/TLS
90-е годы подарили нам самые первые веб-сайты и браузеры, а также первую безопасную розничную сделку через Интернет. Но, как это часто бывает с ранними версиями, начальная версия SSL (Secure Sockets Layer) изобиловала уязвимостями. Он был настолько слабым, что так и не вышел в свет.
В 1995 году компания Netscape выпустила протокол SSL 2.0 для общего использования, а год спустя – усовершенствованный протокол SSL 3.0. Все еще не удовлетворенная показателями безопасности, компания Netscape объединила усилия со своим конкурентом Microsoft в 1999 году и разработала совершенно новый криптографический протокол под названием TLS (Transport Layer Security).
TLS 1.0 был практически идентичен SSL 3.0, но с каждой новой версией он становился все более безопасным. TLS 1.2 скоро исполнится 15 лет, но он все еще широко используется сегодня. Последняя версия TLS 1.3 предлагает наибольшее количество улучшений и в настоящее время постоянно внедряется во всем Интернете.
Теперь, когда мы вкратце рассказали об истории SSL и TLS, давайте посмотрим, в чем их сходство и различие.
В чем разница между сертификатами SSL и TLS?
Для обычного пользователя SSL или TLS мало что значат. Если значок замка находится рядом с URL-адресом сайта, пользоваться им безопасно. При покупке сертификата Вам также не стоит беспокоиться о том, что SSL или TLS. Важно различать сертификаты и протоколы.
Сертификаты – это цифровые файлы, удостоверяющие личность Вашего сервера, чтобы браузеры могли установить безопасное соединение через криптографические протоколы. Эти коммуникационные протоколы позволяют двум сторонам обмениваться данными с соблюдением конфиденциальности и целостности.
Сегодня большинство сайтов поддерживают протоколы TLS 1.2 и TLS 1.3, а версии SSL больше не используются. Технически, все используют сертификаты TLS, независимо от того, как мы их называем. Поэтому, если говорить строго о сертификатах, то в 2023 году разницы между SSL и TLS не будет. Что касается протоколов, то с каждым новым выпуском TLS предшественник SSL устаревал.
В чем разница между шифрованием SSL и TLS?
Когда мы сравниваем SSL и TLS, шифрование является лишь частью рукопожатия между клиентом и сервером. В SSL 2.0 используется только обмен ключами RSA (Rivest Shamir Adleman), в то время как версии SSL 3.0 и TLS также поддерживают обмен ключами Diffie-Hellman (DH). В TLS 1.2 появилась поддержка криптографии Elliptic Curve Cryptography, а в TLS 1.3 RSA была исключена.
Все эти методы шифрования используют сложные алгоритмы, называемые наборами шифров, для преобразования исходного открытого текста в закодированный шифротекст, но у них есть одна общая черта: криптография с открытым ключом.
Криптография с открытым ключом или асимметричная криптография использует разные ключи для шифрования и расшифровки данных. Вот как это работает:
Предположим, Джон хочет отправить Джейн секретное сообщение. У Джейн есть и открытый, и закрытый ключ, поэтому она хранит свой закрытый ключ в надежном месте и отправляет свой открытый ключ Джону. Джон шифрует секретное сообщение, используя открытый ключ Джейн. Позже Джейн сможет расшифровать его с помощью своего закрытого ключа. Но что, если Том будет маскироваться под Джейн? Как Джон будет доверять Джейн? Введите цифровые подписи и центры сертификации (CA).
Сертификаты SSL/TLS подписываются в цифровой форме центром сертификации, который создает подпись с помощью своего закрытого ключа и обеспечивает идентификацию предъявителя, в нашем случае Джейн.
Как Вы видите, протоколы SSL и TLS пытаются выполнить одну и ту же задачу, но с каждым новым выпуском TLS подход и достижения в области безопасности значительно отличаются от ранних версий SSL.
В TLS, например, используется меньше наборов шифров, но более эффективных, которые не оставляют места для взлома. Наборы шифров обеспечивают Perfect Forward Secrecy (PFS) и допускают любую длину ключа. С другой стороны, SSL поддерживает только один набор шифров с PFS, который использует 1024-битный ключ RSA.
Пожалуй, самое большое различие между SSL и TLS – это аутентификация сообщений. В SSL используются коды аутентификации сообщений (MAC) для обеспечения целостности сообщений во время передачи. TLS не использует MAC-адреса, а вместо этого полагается на шифрование для предотвращения несанкционированного доступа.
Что более безопасно, SSL или TLS?
По мере того, как Интернет развивался и киберугрозы становились все более распространенными, старые протоколы SSL оказались слишком слабыми, чтобы противостоять натиску атак. Первая версия SSL даже не была запущена, и следующий релиз тоже не был законченным продуктом. В SSL 3.0 были исправлены недостатки его предшественника, в то время как первые два выпуска TLS принесли лишь незначительные изменения.
Значительные улучшения появились с выходом TLS 1.2, а TLS 1.3 вывел их на новый уровень, переопределив некоторые основные концепции. Сегодня протоколы SSL устарели и больше не поддерживаются большинством серверов и клиентов. На некоторых устаревших платформах Вы все еще можете найти SSL включенным, но Интернет перешел на TLS 1.2 и 1.3.
Уязвимости SSL и POODLE
В 2014 году команда специалистов по безопасности, работающая в Google, обнаружила критическую проблему в SSL и назвала ее POODLE (Padding Oracle On Downgraded Legacy Encryption). Это открытие вызвало массовый переход от SSL к TLS.
В двух словах, POODLE использует преимущества обратных связей SSL 3.0. Злоумышленники злоупотребляют протоколом SSL и используют его для расшифровки части содержимого. Проведя значительное количество атак, хакеры смогли раскрыть некоторые биты соединения между клиентом и сервером и получить доступ к информации. Любая система, поддерживающая SSL 3.0, может быть взломана с помощью метода POODLE.
В 2002 году, задолго до уязвимости POODLE, стали известны другие лазейки в SSL, такие как BREAST или BREACH. Только в 2011 году было доказано, что эти атаки являются реальной проблемой. Microsoft, Apple и другие компании-производители браузеров работали вместе, чтобы искоренить их. В конце концов, все эти нарушения безопасности стали причиной того, что SSL был заменен на TLS.
В те времена самым быстрым способом устранения уязвимостей SSL было отключение протокола на стороне сервера и использование только безопасной версии TLS 1.2. Сегодня многие пользователи все еще спрашивают, что лучше – SSL или TLS? Ответ очевиден, и он остается неизменным уже более десяти лет. TLS – это более стабильный протокол, обладающий расширенными функциями безопасности, способными справиться с современными киберугрозами. SSL – это прошлое, а TLS – настоящее и будущее.
Если SSL теперь TLS, почему мы не называем их TLS-сертификатами?
Разница между SSL и TLS становится все более существенной по мере того, как проходят годы и в новых версиях TLS внедряются высококлассные технологии шифрования. Когда TLS только появился в качестве альтернативы SSL, он принес незначительные изменения, и некоторые серверы его не поддерживали. Чтобы избежать технической путаницы, все продолжали использовать старую аббревиатуру SSL для соединений по протоколу SSL 3.0.
Во время пика уязвимостей SSL хакеры развлекались тем, что понижали протокол TLS до SSL 3.0 с помощью ранее упомянутой атаки POODLE. Устав от его постоянных недостатков, отраслевые регуляторы сняли протокол SSL с производства, но сохранили его название в маркетинговых целях.
Поскольку широкая публика знакома с термином SSL, ведущие центры сертификации, такие как DigiCert, GeoTrust, RapidSSL, Thawte и Sectigo, используют его во всех своих продуктах.
Избавимся ли мы когда-нибудь от аббревиатуры SSL и будем использовать исключительно TLS? Учитывая, что прошло уже восемь лет с тех пор, как SSL 3.0 стал историей, и нет никаких признаков того, что центры сертификации уберут название SSL, старая трехбуквенная аббревиатура останется в обозримом будущем.
Заключительные мысли
Вопрос SSL vs TLS возникает у каждого пользователя, когда он впервые узнает о SSL-сертификатах и шифровании конфиденциальных данных. Оба криптографических протокола решают одну и ту же проблему, но, как это часто бывает с технологиями, первые версии содержат недостатки, которые могут устранить только будущие альтернативы.
Протокол SSL проложил путь к созданию более совершенного, быстрого и надежного варианта TLS. И это главное различие между SSL и TLS. С каждым новым выпуском TLS сходство уменьшается и расходится. Подведем итог всей статьи одним предложением: Все SSL-сертификаты теперь являются TLS-сертификатами с сохранением старой аббревиатуры для ясности и удобства использования.
Часто задаваемые вопросы
Да, TLS лучше SSL во всех аспектах, начиная с безопасности и стойкости шифра и заканчивая скоростью рукопожатия – TLS является явным победителем. Последняя версия TLS 1.3 еще больше повышает безопасность, удаляя устаревшие шифры и алгоритмы.
Обычно для обмена ключами и аутентификации сервера требуется несколько раундов рукопожатия, что увеличивает задержку в соединениях. TLS 1.2 замедлил этот процесс, а TLS 1.3 усовершенствовал его до одного полета в обе стороны. Новая функция Zero Round Trip Time Resumption (0-RTT) делает соединение практически мгновенным, когда пользователь повторно посещает Ваш сайт через некоторое время.
Копировать ссылку
Большинство современных серверов и почтовых клиентов поддерживают TLS 1.2 или TLS 1.3. Только устаревшие серверы и старые системы могут позволить использовать устаревшие протоколы SSL. Вот как определить, какой протокол включен в системах Windows и Linux.
Windows
WindowsMicrosoft включила TLS 1.3 в последние сборки Windows 10, начиная с build 770.
Выполните следующие действия:
- Нажмите клавиши Windows + R, чтобы запустить “Выполнить”, введите regedit и нажмите Enter.
- Перейдите к следующему ключу и проверьте его. Если он присутствует, значение должно быть равно 0:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientDisabledByDefault - Затем проверьте следующий ключ. Если Вы найдете его, его значение должно быть равно 1:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientEnabled - Если ни один из ключей не присутствует или их значения неверны, значит, TLS 1.2 не включенLinuxСамый простой и быстрый способ проверить версию TLS на различных серверах Linux – это команда Open SSL: $ openssl s_client -connect {domain}:443 -servername {domain} -tls{version}
Linux
Самый простой и быстрый способ проверить версию TLS на различных серверах Linux – это команда Open SSL:
$ openssl s_client -connect {domain}:443 -servername {domain} -tls{version}
Копировать ссылку
Вы можете проверить статус TLS любого сайта с помощью внешнего инструмента, например, SSL Labs. Он также расскажет Вам подробную информацию о сертификате SSL.
Копировать ссылку
HTTPS использует TLS 1.2 и TLS 1.3. Это самые безопасные и надежные протоколы, которые отвечают современным требованиям безопасности в Интернете. Протоколы SSL уже устарели и больше не используются.
Копировать ссылку
Вам нужен сертификат SSL/TLS, чтобы зашифровать конфиденциальные данные и следовать последним рекомендациям по безопасности. Без сертификата SSL/TLS Ваш сайт будет недоступен для посетителей. Вместо этого они получат предупреждение о безопасности. Все SSL-сертификаты используют протокол TLS, в то время как протокол SSL уже устарел. TLS – это стандартное средство для выполнения шифрования.
Копировать ссылку
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10
