SSL și TLS sunt adesea folosite interschimbabil deoarece sunt strâns legate. Ambele sunt protocoale de comunicare online și servesc aceluiași scop, acela de criptare a comunicațiilor între un server web și browser-ul utilizatorului prin schimb de chei publice și private pentru a stabili o sesiune sigură. Singura diferență dintre cele două este faptul că TLS a evoluat din tehnologia SSL și este o versiune mai sigură a SSL. De fapt, este TLS (și nu SSL) care este utilizat astăzi pentru a asigura comunicațiile online, dar chiar și atunci ne referim la acesta ca SSL, deoarece numele a rămas și este folosit mai frecvent.
Schimbarea de la SSL la TLS
SSL 2.0 a fost proiectat de Netscape (SSL 1.0 nu a fost niciodată publicat din cauza unor erori grave de securitate) și lansat în 1995. Cu toate acestea, datorită vulnerabilităților care au afectat această versiune, Netscape a fost forțat să proiecteze un SSL 3.0 mai bun și mai sigur, un an mai târziu. SSL 3.0 a fost folosit pe scară largă până de curând – pentru a fi mai precis, până în 2014 – când o vulnerabilitate majoră găsită de echipa de securitate Google l-a închis definitiv.
În acel moment TLS a intrat în scenă
Deși SSL 3.0 a fost utilizat pe scară largă până recent, TLS, care reprezintă Transport Layer Security, a ieșit din umbra tehnologiei SSL (Secure Sockets Layer). În total, patru versiuni diferite ale TLS au fost lansate până în prezent, cel mai recent TLS 1.3 aflat încă în stadiul de dezvoltare. Din punctul de vedere al securității, TLS 1.3 este considerat un progres major, deoarece este de așteptat să elimine diferite tehnici criptografice cunoscute a fi exploatabile. De exemplu, sursele sugerează că TLS 1.3 va permite cifrele numai dacă acetsea oferă Criptare autentificată cu date suplimentare (AEAD).
TLS oferă mai multe avantaje
TLS 1.3 este de așteptat să fie extrem de eficient și din acest motiv se așteaptă să scape de „reluarea sesiunii și renegocierea”, ambele fiind cunoscute ca reprezentând mai multe amenințări distincte legate de securitate în trecut. De asemenea, se sugerează că va renunța complet la compresia la nivel de TLS ca urmare a atacurilor de securitate precum CRIME, TIME și BREACH. Luând în considerare toți acești factori, se poate spune că TLS 1.3 va fi „mult mai sigur” decât versiunile anterioare și predecesorul său SSL.
Va fi TLS 1.3 un protocol de comunicare imun la atacuri?
Din păcate, răspunsul este „Nu”. O situație stabilă în ceea ce privește securitatea online va rămâne întotdeauna un vis evaziv. Atâta timp cât există experți în securitate ce încearcă să consolideze securitatea lumii online, vor există hackeri care vor încerca diferite metode de a trece de această. Prin urmare, teoretic, TLS 1.3 poate părea sigur, dar, în practică, nu știm încă.
În prezent, există cel puțin două incertitudini:
– Unu: nu știm cât de bine va fi implementat protocolul TLS 1.3 și
– Doi: dacă implementările protocolului TLS 1.3 vor fi configurate în modul în care se presupune că acestea vor fi implementate.
După cum s-a menționat deja, peisajul de securitate este și va rămâne întotdeauna un teren plin cu mine care trebuie să fie călcate cu atenție. Și va putea TLS 1.3 să ofere o securitate suficientă? Numai timpul va spune.
Comentarii