Вы наверняка уже сталкивались с двумя аббревиатурами SSL и TLS, которые часто объединяют как SSL/TLS. Если вы, например, хотите вручную настроить почтовый клиент или хост-сайт, без этих терминов не обойтись. В этой статье вы узнаете, в чем заключаются различия между этими двумя протоколами.
Что означают SSL и TLS?
SSL означает «Secure Socket Layer», а TLS — «Transport Layer Security». Оба протокола являются протоколами шифрования для транспортного уровня Интернета. Их задача — шифровать потоки данных между клиентом и сервером.
Если связь проходит через этот зашифрованный транспортный уровень, в конце названия протокола добавляется буква «s»: http становится https, imap — imaps и т. д. Аббревиатура SSL также встречается в термине SSL-сертификат — этот сертификат необходим, если веб-сайт хочет обмениваться данными с помощью протокола https, который сегодня использует подавляющее большинство веб-сайтов.
Для получения дополнительной информации о TLS ознакомьтесь с нашей последующей статьей.
Разница между SSL и TLS
Протокол SSL был представлен в 1995 году. После обнаружения ряда серьезных уязвимостей в системе безопасности была выпущена улучшенная версия 2.0, а через год — версия 3.0. После обнаружения уязвимостей в системе безопасности IETF (Internet Engineering Task Force, ответственная за дальнейшее развитие интернета) отклонила SSL 3.0.
SSL 2.0 и SSL 3.0 иногда также называют SSLv2 и SSLv3.
Протокол TLS является преемникомSSL. Он был представлен в 1999 году как улучшенная версия SSL 3.0 и сначала назывался SSL 3.1. Текущая версия — TLS 1.3 (по состоянию на 2018 год).
Переход от SSL 3.0 к TLS 1.0 изначально был незначительным. «Различия между этим протоколом и SSL 3.0 не драматичны, но они достаточно существенны, чтобы TLS 1.0 и SSL 3.0 не взаимодействовали» (RFC 2246). По сравнению с SSL 3.0, TLS 1.0 улучшил криптографическую безопасность и совместимость приложений. Используемая в настоящее время версия TLS 1.2 обеспечивает повышенную безопасность от хакерских атак и позволяет приложениям гораздо больше гибкости в отношении используемого шифрования (наборов шифров).
Текущая версия TLS является более безопасной, гибкой и эффективной, чем ее предшественник SSL. Поскольку аббревиатура SSL по-прежнему гораздо более известна, чем TLS, многие поставщики клиентского программного обеспечения, маршрутизаторов и т.д. используют термин SSL или альтернативный комбинированный термин SSL/TLS. Однако обычно это относится к текущей версии TLS (т.е. TLS 1.3).
SSL или TLS — что лучше использовать?
Сегодня единственным ответом является TLS. SSL 2.0 и SSL 3.0 устарели и считаются небезопасными. То же самое можно сказать и о старых версиях TLS. Только TLS 1.2 все еще можно использовать при определенных условиях, которые изложены в спецификации TLS 1.3. Однако вам следует избегать всех протоколов SSL (поскольку их использование теперь запрещено), а также TLS версий 1.0 и 1.1 (поддержка которых скоро будет прекращена). На правильно настроенных серверах эти устаревшие протоколы отключены.
С помощью этого GlogalSign вы можете проверить, какие протоколы шифрования включены на сервере конкретного веб-сайта.