SSL & TLS – rozdíly, o kterých jste možná nevěděli!

2.5.2018 | Jindřich Zechmeister

Patříte-li mezi pravidelné čtenáře našeho Magazínu, možná jste si všimli, že již delší dobu užíváme označení SSL/TLS certifikát. V následujícím článku vám chceme objasnit, proč jsme se k tomuto rozšíření rozhodli a jak jej chápat. Ale především se dozvíte odpověď na otázku, jaký je rozdíl mezi zkratkou SSL a TLS!

Něco z historie

Zkratkou SSL se zjednodušuje spojení Secure Sockets Layer, TLS znamená Transport Layer Security. Že se v obou případech jedná o protokoly pro šifrovaný, tedy zabezpečený přenos dat mezi klientem a serverem, už určitě víte. Protokol TLS je pak zjednodušeně řečeno nástupcem SSL, konkrétně SSL 3.0.

Vývoj od SSL k TLS si můžeme víceméně představit jako pohádkový příběh s jak jinak než šťastným koncem. Kryptografické standardy se postupně vylepšovaly a více či méně zastaralé a nebezpečné metody komunikace byly nakonec vystřídány lepšími...

SSL protokol byl vyvinut v první polovině 90. let společností Netscape Communications Corporation. Ta totiž tou dobou prodávala software pro webové servery užívající pro šifrovaný přenos dat právě SSL. V případě TLS, poprvé představeného v roce 1999, mělo naproti tomu již z názvu vyplynout, že se jedná o otevřený a všem dostupný standard, určený pro jakoukoliv společnost či projekt - tedy bez patentní nálepky Netscapu. SSL byl navíc původně myšlen pouze pro HTTP spojení, zatímco u TLS se již počítalo s porty POP3, SMTP a IMAP. Dříve se totiž neuvažovalo o tom, že by kromě bank mohl chtít či potřebovat šifrovat i někdo jiný, vývoj silné kryptografie nebyl dokonce ani vítán... Časy se zkrátka mění.

Při koupi SSL certifikátu ovšem není žádný důvod k obavám, v jeho výběru se nemůžete zmýlit – certifikáty jsou vydávány tak, abyste je mohli použít se všemi verzemi SSL i TLS protokolu. I to je důvodem, proč náš SSLmarket užívá „kompatibilní“ výraz SSL/TLS certifikát!

TLS garantuje vyšší bezpečnost

Až do nynějška světlo světa spatřilo 6 různých verzí SSL a TLS – tou poslední je nedávno schválený TLS 1.3. Ne všechna zařízení ovšem podporují všechny verze – domluva na konkrétní verzi protokolu je tak jednou ze zásadních částí tzv. handshaku, komunikace mezi serverem a klientem pro stanovení podmínek šifrování. Obě strany se musí shodnout na protokolu, který je pro zašifrování komunikace užit. Nenajde-li se v množině bezpečných protokolů, které jsou podporovány oběma stranami, shoda, dojde k „nucenému“ výběru některého ze zastaralých. Což je ale nebezpečné!

Není-li podpora starších a zranitelných verzí SSL totiž přímo deaktivována, může snadno dojít k tzv. downgrade útoku, kdy útočníci komunikující strany donutí užít slabší stránky zabezpečení a následně jich zneužijí. Např. přes zranitelný SSL 3.0., který by měl být na všech zařízeních zakázán, ale realita je jiná.

Nastavení podpory nejnovějšího protokolu je přitom pouze otázkou velmi snadné konfigurace serveru i prohlížeče! Pokud žádná ze stran „slabší“ verzi nepodporuje, nemůže k tzv. SSL fallback dojít.

Zda váš server stále podporuje 22 let starý SSL 3.0 si můžete ověřit otestováním na SSLlabs. Deaktivovat jej vám v případě potřeby pomůže náš návod. U prohlížečů je pak podpora TLS nastavena již jako výchozí, i tom se na SSLlabs můžete sami přesvědčit. Jak na Chromu a Firefoxu aktivovat rovnou nejnovější TLS 1.3. se pak dozvíte v našem příštím článku.

Které označení je tedy to správné?

Místo zkratky „SSL“ by se tedy správně měla užívat „TLS“. Ale protože zvyk je železná košile, označení „SSL“ je i po 19 letech fungování TLS protokolu stále užíváno prioritně – certifikační autority samotné stále nabízejí SSL certifikáty, stejně jako nedošlo k přejmenování softwaru OpenSSL na OpenTLS. Že označení „SSL“ vyhrává i u běžných uživatelů, dokazuje následující grafika z Google Trends. Zajímavá je ovšem převaha TLS v Austrálii :). SSL je reprezentováno modrou, TLS červenou.

Srovnání SSL a TLS z Google Trends

Srovnání SSL a TLS z Google Trends

Na našem Blogu jsme se tedy rozhodli pro zlatou střední cestu. Pravdou totiž zůstává, že když dva dělají totéž, není to vždy totéž. Pro jaké označení se rozhodnete vy?

Zdroje

The Difference Between SSL and TLS

The Real Truth About TLS Vs SSL

TLS/SSL Explained – A brief history of TLS/SSL, Part 2


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz