آیا SSL با TLS تفاوتی دارد؟

مقدمه

در دنیای دیجیتال امروز، امنیت اینترنت یکی از مهم‌ترین مسائل برای کاربران و شرکت‌ها به شمار می‌آید. پروتکل‌های (SSL ( Secure Sockets Layer  و (TLS (Transport Layer Security  ابزارهای اساسی برای تضمین ارتباطات ایمن بین کلاینت و سرور در اینترنت هستند. در این مقاله (آیا SSL با TLS تفاوتی دارد؟)، بررسی عمیق‌تری از تفاوت‌ها، تاریخچه، ساختار، و نحوه عملکرد این دو پروتکل ارائه کرد.

تاریخچه SSL و TLS

(SSL  (Secure Sockets Layer 

SSL در دهه 1990 توسط Netscape طراحی شد. هدف اصلی این پروتکل امنیتی فراهم آوردن یک لایه حفاظتی برای ارتباطات در اینترنت بود. نسخه‌های اولیه SSL، به‌ویژه SSL 2.0 و SSL 3.0، به سرعت در وب‌سایت‌های تجاری و بانک‌ها مورد استفاده قرار گرفتند. اما با گذشت زمان و کشف آسیب‌پذیری‌های متعدد در این پروتکل‌ها و در همان سال های اول پیدایش گواهینامه SSL، نیاز به یک جایگزین امن‌تر و پیشرفته تر احساس شد.

TLS (Transport Layer Security)

TLS به عنوان جانشین SSL در سال 1999 معرفی شد و اولین نسخه آن با عنوان TLS 1.0،برای اولین بار در RFC 2246 معرفی و منتشر گردید. TLS به طور گسترده‌تر از ویژگی‌های امنیتی بهتر و عملکرد بهینه‌تری نسبت به SSL برخوردار بود.

 امروزه، جدیدترین نسخه TLS، نسخه 1.3میباشد که در سال 2018 معرفی شد. این نسخه دارای عملکرد بهتر و بهبود چشمگیری در کارایی و امنیت تا به امروز نشان داده است.

منبع: تاریخچهTLS (Transport Layer Security)

ساختار و نحوه عملکرد SSL و TLS

مدل کلی عملکرد

هر دو پروتکل SSL و TLS از یک مدل کلاینت-سرور استفاده می‌کنند. فرآیند ارتباط بین کلاینت و سرور شامل مراحل زیر است :

1. Handshake (دست دادن): در اولین مرحله، کلاینت و سرور یکدیگر را شناسایی کرده و به توافق درباره پارامترهای امنیتی می‌رسند که اصطلاحا به آن دست دادن یا (Handshake) گفته میشود.
2. تبادل کلید: طی این مرحله، کلیدهای رمزگذاری برای برقراری ارتباط امن بین کلاینت و سرور مبادله می‌شوند.
3. متبادل داده: پس از موفقیت‌آمیز بودن فرآیند Handshake، داده‌ها منتقل می‌شوند.

الگوریتم‌های رمزگذاری

SSL

SSL از الگوریتم‌های رمزنگاری مانند RC4 و (DES (Data Encryption Standard استفاده می‌کند. RC4 یک الگوریتم دنباله ای ساده و سریع است، اما به دلیل ضعف‌های امنیتی شناخته‌شده، امروزه منسوخ شده است. DES نیز یک الگوریتم رمزگذاری بلوکی با کلید 56 بیتی است که به دلیل کوتاه بودن طول کلید،امنیت آن تضمین شده نمیباشد و استفاده از آن منسوخ شده است.

TLS

TLS از الگوریتم‌های پیشرفته‌تری استفاده می‌کند که امنیت و کارایی بیشتری دارند. این الگوریتم‌ها شامل موارد زیر هستند:

AES (Advanced Encryption Standard)

AES یک الگوریتم رمزنگاری بلوکی است با کلیدهای 128، 192، و 256 بیتی که امنیت بسیار بالایی را فراهم می‌کند و به عنوان استاندارد رمزگذاری در بسیاری از برنامه‌ها و شبکه ها و پروتکل‌ها استفاده می‌شود.

ChaCha20-Poly1305:

 یک الگوریتم رمزنگاری جریان سریع میباشد که توسط گوگل توسعه داده شده است. این الگوریتم در محیط‌های با منابع محدود و دستگاه‌های موبایل کارایی بسیار خوبی دارد.و بسیار امن میباشد.

 :ECDHE (Elliptic Curve Diffie-Hellman Ephemeral)

 یک روش تبادل کلید که امنیت بیشتری نسبت به روش‌های سنتی  مانند پروتکل تبادل کلید دیفی-هلمن دارد و به خصوص در مقابل حملات توسط رایانه‌های کوانتومی مقاوم است.

تأیید هویت

هر دو پروتکل SSL و TLS برای تایید هویت سرور از گواهی‌های دیجیتال استفاده می‌کنند، اما TLS با استفاده از (Protocol Negotiation) و Server Name Indication ) SNI) برای تایید هویت‌های کاربرانی که از چند دستگاه و با یک آی پی به سمت سرور درخواست ارسال می کنند بهینه سازی شده است .

این قابلیت‌ها به سرورها اجازه می‌دهند تا به چندین وب‌سایت با استفاده از یک IP آدرس پاسخ بدهند.

رمزگذاری پیشرفته

SSL

نسخه‌های اولیه SSL به دلیل استفاده از کلیدهای کوتاه و روش‌های ضعیف‌تر رمزگذاری، آسیب‌پذیر بودند. به عنوان مثال، SSL 3.0 به حملات POODLE و BEAST آسیب‌پذیر بود که می‌توانستند به سرقت اطلاعات حساس منجر شوند.

TLS

TLS با به‌کارگیری متد Perfect Forward Secrecy)  PFS)، آسیب پذیر بودن جلوی حملات را به شدت کاهش داده و تقریبا آن را غیر ممکن ساخته است.

تفاوت‌های کلیدی بین SSL و TLS

مزایا و معایب

مزایا

SSL

• سادگی در پیاده‌سازی 
• پذیرش و نشان دادن علاقه توسط تمامی کاربران اینترنت بعد از معرفی SSL

TLS

• امنیت بالاتر به دلیل الگوریتم‌های رمزگذاری قوی‌تر
• بهینه‌سازی عملکرد بهتر و کاهش تاخیر در پروسه Handshake
• توانایی رفع آسیب‌پذیری‌ها و قابلیت به‌روزرسانی مداوم

معایب

SSL

• آسیب‌پذیری‌ در برابر حملات و ناامن بودن
• عدم پشتیبانی توسط مرورگرها و سرورهای جدید

TLS

• پیچیدگی بیشتر در تنظیم و پیکربندی

نتیجه‌گیری

در پایان، واضح است که TLS به‌عنوان یک گزینه امن و به‌روز برای تأمین ارتباطات اینترنتی در برابر SSL برتری دارد. با توجه به آسیب‌پذیری‌های موجود در SSL و و برتری های امنیتی و بروزرسانی های مداوم در TLS، بدیهی است که استفاده از TLS همگانی باشد.

جالب است بدانید همانطور که در مقایسه SSL و TLS به آن اشاره شد ،SSL بعد از معرفی به طور همگانی به محبوبیت خاصی دست پیدا کرد لذا تا به امروزه با این که SSL به طور کامل منسوخ شده و استفاده نمی شود اما  به طور عمومی این واژه  بجای استفاده از TLS به کار میرود.