Tuttavia, esistono differenze minime tra SSL e TLS, SSL è l'approccio più importante per raggiungere lo scopo e inoltre è supportato da tutti i browser, mentre TLS è lo standard Internet di follow-on con alcune funzionalità avanzate di sicurezza e privacy.
Grafico comparativo
| Base per il confronto | SSL | TLS |
|---|---|---|
| Versione | 3.0 | 1.0 |
| Cipher Suite | Supporta Fortezza (algoritmo) | Non supporta Fortezza |
| Segreto della crittografia | Utilizza il digest del messaggio del segreto pre-master per la creazione del master secret. | Usa una funzione pseudocasuale per creare il master secret. |
| Registra il protocollo | Utilizza MAC (codice di autenticazione del messaggio) | Utilizza HMAC (Hashed MAC) |
| Protocollo di allerta | Il messaggio di avviso "Nessun certificato" è incluso. | Elimina la descrizione degli avvisi (nessun certificato) e aggiunge una dozzina di altri valori. |
| Autenticazione dei messaggi | Ad hoc | Standard |
| autenticazione materiale chiave | Ad hoc | Funzione pseudocasuale |
| Verifica del certificato | Complesso | Semplice |
| Finito | Ad hoc | Funzione pseudocasuale |
Definizione di SSL
Il protocollo Secure Socket Layer (SSL) è un protocollo Internet che garantisce lo scambio sicuro di informazioni tra un browser Web e un server web. Offre due servizi di sicurezza di base: autenticazione e riservatezza . Logicamente, fornisce una connessione sicura tra il browser Web e il server web. Netscape Corporation ha sviluppato SSL nel 1994. Da allora, SSL è diventato il meccanismo di sicurezza Web più popolare al mondo. Tutti i browser Web cruciali supportano SSL. Al momento, SSL è disponibile in tre versioni: 2, 3 e 3, 1.
Il livello SSL può essere nozionalmente considerato come un supplemento nella suite di protocolli TCP / IP . Il livello SSL è posizionato tra il livello dell'applicazione e il livello di trasporto . Qui, in un primo momento, i dati del livello applicazione vengono passati al livello SSL. Quindi, il livello SSL esegue la crittografia sui dati ricevuti dal livello dell'applicazione e aggiunge anche la propria intestazione di informazioni sulla crittografia chiamata come intestazione SSL (SH) ai dati crittografati.
Alla fine del ricevitore, la procedura è abbastanza simile a come avviene nel caso di una normale connessione TCP / IP fino a quando non raggiunge il nuovo livello SSL. Il livello SSL all'estremità del destinatario elimina l'intestazione SSL (SH), decodifica i dati crittografati e restituisce il testo normale al livello applicazione del computer ricevente.
Come funziona SSL?
I tre sottoprotocolli che formano il funzionamento generale del protocollo SSL sono-
- Protocolli di handshake : è in realtà costituito da quattro fasi.
- Stabilire funzionalità di sicurezza
- Autenticazione del server e scambio di chiavi
- Autenticazione client e scambio di chiavi
- finire
- Protocollo di registrazione : il protocollo di registrazione in SSL viene visualizzato solo dopo il completamento riuscito dell'handshake tra client e server. Il protocollo offre due servizi definiti per le connessioni SSL che sono i seguenti:
- Riservatezza - Si ottiene utilizzando la chiave segreta definita dal protocollo di handshake.
- Integrità : una chiave segreta condivisa (MAC) è specificata da un protocollo di handshake che viene utilizzato per garantire l'integrità del messaggio.
- Protocollo di avviso : se un errore viene identificato dal client o dal server, la parte identificante invia un messaggio di avviso a un'altra parte. Nel caso in cui l'errore sia fatale, entrambe le parti chiudono rapidamente la connessione SSL.
Definizione di TLS
Transport Layer Security (TLS) è un avvio della standardizzazione IETF (Internet Engineering Task Force), che mirava a fornire una versione standard SSL di Internet. Netscape ha passato il protocollo su IETF perché voleva standardizzare SSL. Esistono importanti differenze tra SSL e TLS. Tuttavia, l'idea principale e l'implementazione sono abbastanza simili.
Differenze chiave tra SSL e TLS
- Il protocollo TLS non supporta le suite di crittografia Fortezza / DMS mentre SSL supporta Fortezza. Inoltre, il processo di standardizzazione TLS rende molto più semplice la definizione di nuove suite di crittografia.
- In SSL per creare un master secret, viene utilizzato il digest del messaggio del segreto pre-master. Al contrario, TLS utilizza una funzione pseudocasuale per generare il master secret.
- Il protocollo di registrazione SSL aggiunge MAC (Message Authentication Code) dopo aver compresso ciascun blocco e crittografato. Come contro, il protocollo di registrazione TLS utilizza HMAC (codice di autenticazione dei messaggi basato su hash).
- Il messaggio di avviso "Nessun certificato" è incluso in SSL. D'altra parte, TLS rimuove la descrizione degli avvisi (nessun certificato) e aggiunge una dozzina di altri valori.
- L'autenticazione dei messaggi SSL unisce informazioni chiave e dati delle applicazioni in un modo ad-hoc, creato solo per il protocollo SSL. Considerando che, il protocollo TLS si basa solo su un codice di autenticazione dei messaggi standard noto come HMAC.
- Nel certificato TLS verificare il messaggio, gli hash MD5 e SHA-1 vengono calcolati solo su messaggi di handshake. Al contrario, in SSL il calcolo dell'hash include anche il master secret e il pad.
- Come con il messaggio finito in TLS, creato applicando il PRF alla chiave principale e ai messaggi di handshake. Mentre in SSL, è costruito applicando message digest alla chiave master e ai messaggi di handshake.
Conclusione
Sia SSL che TLS sono protocolli che servono allo stesso scopo, fornendo sicurezza e crittografia alla connessione tra TCP e applicazioni. La versione 3.0 di SSL è stata progettata per prima, quindi è stata progettata la versione 1.0 di TLS, ovvero il predecessore o l'ultima versione di SSL che comprende tutte le funzionalità SSL ma presenta anche alcune funzionalità di sicurezza avanzate.
