TLS vs SSL
Mayroong ilang pagkakaiba sa pagitan ng SSL at TLS dahil ang TLS ang kahalili ng SLS, na lahat ay tatalakayin sa artikulong ito. Ang SSL, na tumutukoy sa Secure Socket Layer, ay isang protocol na ginagamit upang magbigay ng seguridad sa mga koneksyon sa pagitan ng isang server at isang kliyente. Gumagamit ang protocol na ito ng mga mekanismo ng seguridad gaya ng cryptography at hashing upang magbigay ng mga serbisyong panseguridad tulad ng pagiging kumpidensyal, integridad, at pagpapatunay ng endpoint sa mga koneksyon sa pagitan ng isang server at isang kliyente. Ang TLS, na tumutukoy sa Transport Layer Security, ay ang kahalili ng SSL, na kinabibilangan ng mga pag-aayos ng bug at pagpapahusay sa SSL. Ang SSL, na ngayon ay medyo luma na, ay may maraming kilalang mga bug sa seguridad at samakatuwid ang inirerekomendang gamitin ay ang pinakabagong bersyon ng TLS, na TLS 1.2. Umabot ang SSL sa mga bersyon 3.0 at pagkatapos noon ay pinalitan ang pangalan sa TLS.
Ano ang SSL ?
Ang SSL, na tumutukoy sa Secure Socket Layer, ay isang protocol na ginagamit upang magbigay ng mga secure na koneksyon sa pagitan ng isang client at isang server. Ang isang koneksyon sa TCP ay maaaring magbigay ng isang maaasahang link sa pagitan ng isang server at isang kliyente ngunit hindi makakapagbigay ng mga serbisyo tulad ng pagiging kumpidensyal, integridad at pagpapatunay ng end point. Kaya, ang SSL ay ipinakilala ng Netscape noong unang bahagi ng 1990s upang ibigay ang mga serbisyong ito. Ang unang bersyon ng SSL, na kilala bilang SSL 1.0, ay hindi kailanman inilabas sa publiko dahil marami itong butas sa seguridad. Gayunpaman, noong 1995, ang SSL 2.0, na nagbigay ng mas mahusay na seguridad kaysa sa SSL 1.0, ay ipinakilala at, noong 1996, ang SSL 3.0 ay ipinakilala na may higit pang mga pagpapabuti. Ang mga susunod na bersyon ng SSL protocol ay lumabas sa ilalim ng pangalang TLS.
Ang SSL, na ipinapatupad sa transport layer, ay makakapag-secure ng protocol gaya ng TCP sa pamamagitan ng paglalapat ng iba't ibang hakbang sa seguridad. Magbibigay ito ng pagiging kompidensiyal sa pamamagitan ng paggamit ng mga encryption upang maiwasan ang sinuman na mag-eavesdrop. Gumagamit ito ng parehong asymmetric at simetriko na pag-encrypt. Una, gamit ang asymmetric key encryption, ang isang simetriko na session key ay itinatatag na pagkatapos ay gagamitin para sa pag-encrypt ng trapiko. Ginagamit din ang asymmetric key cryptography para sa mga digital na certificate na ginagamit upang patotohanan ang server. Pagkatapos Message Authentication Code, na gumagamit ng iba't ibang mga diskarte sa pag-hash, ay ginagamit upang magbigay ng integridad (kilalain ang anumang hindi napatotohanang pagbabago na ginawa sa totoong data). Kaya ang isang protocol tulad ng SSL ay nagbibigay-daan sa pagpapadala ng sensitibong impormasyon tulad ng mga banktransaction at impormasyon ng credit card sa internet. Gayundin, ginagamit ito para sa pagbibigay ng pagiging kumpidensyal para sa mga serbisyo tulad ng email, pag-browse sa web, pagmemensahe, at voice over IP.
Ang SSL ay luma na ngayon at may maraming isyu sa seguridad kung saan hindi gaanong inirerekomenda ang paggamit nito sa kasalukuyan. Ang SSL 3.0 ay pinagana bilang default hanggang kamakailan lamang sa maraming browser ngunit ngayon ay pinaplano nilang i-disable sa mga susunod na bersyon dahil sa mga malubhang bug sa seguridad gaya ng pag-atake ng POODLE.
Ano ang TLS?
Ang TLS, na tumutukoy sa Transport Layer Security, ay ang kahalili ng SSL. Pagkatapos ng SSL 3.0, ang susunod na bersyon ay lumitaw bilang TLS 1.0 noong 1999. Pagkatapos, noong 2006, isang pinahusay na bersyon na pinangalanang TLS 1.1 ay ipinakilala. Pagkatapos, noong 2008, ang mga karagdagang pagpapabuti at pag-aayos ng bug ay ginawa at ipinakilala ang TLS 1.2. Sa kasalukuyan, ang TLS 1.2 ang pinakabagong available na bersyon ng Transport Layer Security. Tulad ng SSL, nagbibigay din ang TLS ng mga serbisyong panseguridad tulad ng pagiging kumpidensyal, integridad, at pagpapatunay ng end point. Katulad nito, ginagamit ang pag-encrypt, code ng pagpapatunay ng mensahe, at mga digital na sertipiko upang ibigay ang mga serbisyong ito sa seguridad. Ang TLS ay immune sa mga pag-atake gaya ng pag-atake ng POODLE, na nakompromiso ang seguridad ng SSL 3.0.
Ang rekomendasyon ay gamitin ang pinakabagong bersyon ng TLS, TLS 1.2, dahil ito ang pinakabago, mayroon itong pinakamababang mga bahid sa seguridad. Ang anumang sistema ng seguridad ay hindi perpekto at sa paglipas ng panahon ay matutukoy ang mga depekto at sa hinaharap ay ilalabas ang bersyon ng TLS 1.3 na mag-aayos sa mga nakitang error na iyon. Gayunpaman, sa kasalukuyan, ang TLS 1.2 ang pinakasecure at, sa lahat ng mga pangunahing browser, ito ay pinagana bilang default.
Ano ang pagkakaiba ng SSL at TLS?
• Ang TLS ay ang kahalili ng SLS. Ang SLS ay ipinakilala noong 1990s at tatlong bersyon ang ipinakilala katulad ng SSL 1.0, SSL 2.0 at SSL 3.0. Pagkatapos noon, noong 1999, ang susunod na bersyon ng SSL ay pinangalanan bilang TLS 1.0. Pagkatapos ay ipinakilala ang TLS 1.1 at ang kasalukuyang pinakabagong bersyon ay TLS 1.2.
• Maraming bug ang SSL at madaling kapitan ng mga kilalang pag-atake kaysa sa TLS. Sa pinakabagong mga bersyon ng TLS, karamihan sa mga bug ay naayos na at samakatuwid ay immune sa mga pag-atake.
• May mga bagong feature ang TLS at sumusuporta sa mga bagong algorithm kung ihahambing sa SSL.
• Sa pag-atake na tinatawag na POODLE attack, ngayon ang paggamit ng SSL ay naging lubhang mahina at, sa mga bagong bersyon ng mga web browser, ang SSL ay idi-disable bilang default. Gayunpaman, sa lahat ng browser, ang TLS ay pinagana bilang default.
• Sinusuportahan ng TLS ang mga bagong authentication at key exchange algorithm suites gaya ng ECDH-RSA, ECDH-ECDSA, PSK at SRP.
• Ang Message Authentication Code Algorithm suite gaya ng HMAC-SHA256/384 at AEAD ay available sa mga pinakabagong bersyon ng TLS, ngunit hindi sa SSL.
• Ang SSL ay binuo at na-edit sa ilalim ng Netscape. Gayunpaman, ang TLS ay nasa ilalim ng Internet Engineering Task Force bilang karaniwang protocol at samakatuwid ay available sa ilalim ng RFC.
• May mga pagkakaiba sa pagpapatupad ng protocol gaya ng key exchange at key derivation.
Buod:
TLS vs SSL
Ang TLS ay ang kahalili ng SSL at samakatuwid ang TLS ay nagsasama ng maraming pagpapabuti at pag-aayos ng bug sa SSL. Ipinakilala ang SSL noong unang bahagi ng 1990s at tatlong bersyon ang dumating sa SSL 3.0. Pagkatapos, noong 1999, lumitaw ang susunod na bersyon ng SSL sa ilalim ng pangalang TLS 1.0. Sa kasalukuyan, ang pinakabagong bersyon ay TLS 1.2. Ang SSL na isang lumang protocol ay may maraming kilalang mga bug sa seguridad at samakatuwid ay madaling kapitan sa mga kilalang pag-atake tulad ng pag-atake ng POODLE. Ang pinakabagong bersyon ng TLS ay may mga pag-aayos sa mga pag-atake na ito habang sinusuportahan din nito ang mga bagong feature at algorithm. Kaya para sa mga application na nangangailangan ng mas mahusay na seguridad, ang pinakabagong bersyon ng TLS ay inirerekomenda sa halip na gumamit ng mga lumang SSL protocol.
