TLS مقابل. SSL: ما هو الفرق وكيف يعمل

أمان طبقة النقل (TLS) هو أحدث إصدار من بروتوكول طبقة مآخذ التوصيل الآمنة (SSL). يضمن كلا البروتوكولين خصوصية البيانات ومصداقيتها عبر الإنترنت. توفر هذه البروتوكولات المستخدمة على نطاق واسع أمانًا شاملاً من خلال تطبيق التشفير للاتصال المستند إلى الويب. ومع ذلك ، على الرغم من أوجه التشابه بين TLS و SSL ، إلا أن هناك اختلافات كبيرة أيضًا.

تشرح هذه المقالة كيفية عمل بروتوكولات تشفير TLS و SSL ، وأهميتها ، وكيف تختلف ، ولماذا حان الوقت للتبديل إلى بروتوكول TLS.

الخلفية التاريخية لـ TLS و SSL

تم نشر فريق عمل هندسة الإنترنت (IETF) ، وهي المنظمة المسؤولة عن تطوير معايير الإنترنت طلب التعليقات (RFC-1984)، إدراكًا لأهمية حماية البيانات الشخصية في الإنترنت المتنامي. قدمت شركة Netscape Communication Corporation بروتوكول SSL لتأمين الاتصال عبر الويب والذي خضع لعدة ترقيات.

لم يتم إطلاق إصدار SSL 1.0 أبدًا بسبب عيوب أمنية ، وكان SSL 2.0 أول إصدار عام بواسطة Netscape في عام 1995. ومع ذلك ، نظرًا للثغرات الأمنية والعيوب ، تم استبدالها بإصدار SSL آخر 3.0 في نوفمبر 1996. أحدث إصدار من SSL ليس قيد الاستخدام أيضًا بسبب عدم أمانه ضد هجوم POODLE في أكتوبر 2014 وتم إهماله رسميًا في حزيران (يونيو) 2015.

تم إصدار TLS في 1999 كبروتوكول مستقل عن التطبيق: ترقية إلى SSL الإصدار 3.0 بواسطة فريق عمل هندسة الإنترنت (IETF). كانت الفكرة هي تنفيذ TLS عبر TCP لتشفير التطبيقات باستخدام بروتوكولات FTP و IMAP و SMTP و HTTP. على سبيل المثال، HTTPS هو نسخة آمنة من HTTP لأنها تطبق TLS لضمان تسليم آمن للبيانات عن طريق تجنب تعديلات المحتوى والتنصت.

العمل الأساسي لبروتوكولات TLS / SSL

يبدأ الاتصال بين الأطراف (على سبيل المثال ، متصفح الكمبيوتر وموقع الويب) من خلال تحديد ما إذا كان سوف يدمج بروتوكول TLS / SSL أم لا ، بحيث يمكن للعميل تحديد استخدام تشفير TLS أيضًا بواسطة:

• تحديد منفذ يدعم تشفير اتصالات SSL ، أو
• من خلال تقديم طلبات خاصة ببروتوكول TLS

في هذه الأثناء، يتطلب موقع الويب شهادة TLS / SSL مثبتًا على خادم الاستضافة الخاص به لاستخدام البروتوكول. يصدر طرف ثالث موثوق به الشهادة التي تربط المفتاح العام بالمجال الذي يمتلك المفتاح الخاص وتمكنه من تشفير / فك تشفير الاتصال.

بعد الموافقة على استخدام TLS / SSL للاتصال بخادم العميل ، تستمر عملية تبادل الإشارات. يحدد الاتصال المواصفات المطلوبة لتبادل الرسائل. يلخص القسم التالي سلسلة عمليات تبادل المعلومات لتمكين اتصال TLS / SSL:

1. يتفق الطرفان على نسخة البروتوكول التي سيستخدمونها بعد ذلك
2. يقرر بعد ذلك خوارزميات التشفير أو مجموعة التشفير المراد استخدامها
3. يصادق على اتصال الأطراف بمفتاحهم العام والتوقيعات الرقمية لسلطة إصدار الشهادة ، ثم
4. تبادل مفاتيح الجلسة لاستخدامها أثناء الاتصال. يستخدم كل من بروتوكولات TLS و SSL التشفير غير المتماثل لإنشاء مفاتيح مشتركة (عامة) وخاصة.

إذا لم يتمكن المستعرض من التحقق من صحة شهادة TLS / SSL ، فإنه يقوم بإرجاع خطأ "الاتصال ليس خاصًا."

بعد إنشاء طريقة فك التشفير أثناء المصافحة ، بروتوكول التسجيل يستخدم التشفير المتماثل للتواصل طوال الجلسة. إلى جانب ذلك ، يقوم بروتوكول التسجيل أيضًا بإلحاق الرسالة بـ HMAC لـ TLS و MAC لـ SSL لضمان تكامل البيانات.

ومن ثم ، فإن البروتوكولات تحقق ثلاثة أهداف أساسية للأمن:

• سرية: يشفر البيانات لإخفائها عن الجهات الخارجية بحيث لا يتمكن سوى المستلم المقصود فقط من عرض المحتوى.
• التكامل: يطبق رمز مصادقة الرسالة للتحقق من محتوى الرسالة المشفر.
• المصادقة: يصادق على هوية موقع الويب / العميل / الخادم بمساعدة شهادة لضمان عدم تمكن الأطراف التي تتبادل المعلومات من التراجع عن هويتهم.

ما الفرق بين TLS و SSL؟

كما ذكرنا سابقًا ، يتمثل الاختلاف الرئيسي الذي تلاحظه بين كلا البروتوكولين في كيفية إنشاء الاتصالات. تستخدم مصافحة TLS طريقة ضمنية لإنشاء اتصال عبر بروتوكول ، بينما تقوم SSL بإجراء اتصالات صريحة مع منفذ.

بغض النظر عن جميع الاختلافات الأخرى ، فإن الميزة الأساسية التي تميز اتصالات TLS / SSL هي استخدام مجموعة تشفير تحدد الأمان العام للاتصال.

يتمثل الجزء الأساسي من اتصال TLS / SSL في الاتفاق على مجموعة تشفير تحدد مجموعة من الخوارزميات لتبادل المفاتيح ، المصادقة والتشفير الجماعي ورمز مصادقة الرسائل القائمة على التجزئة (HMAC) أو خوارزميات رمز مصادقة الرسالة ، إلخ. لجلسة معينة. يدعم كل إصدار TLS / SSL مجموعة مختلفة من مجموعات التشفير لجلسة الاتصال. ومن ثم ، فإن كل مجموعة تشفير تدعم مجموعتها الخاصة من الخوارزميات التي تعمل على تحسين الأمان وأداء الاتصال العام.

SSL	TLS
SSL هو بروتوكول معقد ليتم تنفيذه.	TLS هو بروتوكول أبسط.
يحتوي SSL على ثلاثة إصدارات ، يعد SSL 3.0 الأحدث منها.	يحتوي TLS على أربعة إصدارات ، أحدثها إصدار TLS 1.3
جميع إصدارات بروتوكول SSL عرضة للهجمات.	يوفر بروتوكول TLS أمانًا عاليًا.
يستخدم SSL رمز مصادقة الرسالة (MAC) بعد تشفير الرسالة لتكامل البيانات	يستخدم TLS رمز مصادقة الرسالة المستند إلى التجزئة في بروتوكول التسجيل الخاص به.
يستخدم SSL ملخص الرسالة لإنشاء سر رئيسي.	يستخدم TLS وظيفة شبه عشوائية لإنشاء سر رئيسي.

لماذا استبدل TLS SSL؟

يعد تشفير TLS الآن ممارسة قياسية لتأمين تطبيقات الويب أو البيانات العابرة من التنصت والعبث. من غير الواقعي افتراض أن TLS هو البروتوكول الأكثر أمانًا لأنه كان عرضة للانتهاكات مثل الجريمة و Heartbleed في عامي 2012 و 2014 ، لكنها أظهرت الكثير من التحسينات من حيث الأداء و الأمان.

يحل TLS محل SSL ، ويتم الآن إهمال جميع إصدارات SSL تقريبًا بسبب نقاط الضعف المعروفة. يعد Google Chrome أحد الأمثلة التي توقفت عن استخدام إصدار SSL 3.0 في عام 2014 ، ومعظم متصفحات الويب الحديثة لا تدعم SSL على الإطلاق.

استخدم TLS للاتصالات المشفرة

يساعد TLS في تأمين المعلومات الحساسة أثناء النقل مثل تفاصيل بطاقة الائتمان ورسائل البريد الإلكتروني والصوت عبر IP (VOIP) ونقل الملفات وكلمات المرور. على الرغم من أن كلتا الشهادتين تؤديان مهمة تشفير البيانات أثناء النقل ، إلا أنهما تختلفان في الوظائف وغير قابلة للتشغيل البيني.

من المهم ملاحظة أن TLS يشار إليه باسم SSL فقط لأن SSL هو المصطلحات الأكثر استخدامًا ، ووجود شهادة لا يضمن استخدام بروتوكول TLS. بالإضافة إلى ذلك ، لا داعي للقلق بشأن تغيير SSL إلى شهادات TLS لأن كل ما عليك فعله هو تثبيت الشهادة على الخادم لأنه يدعم كلا البروتوكولين ويقرر أيهما يجب استخدامه.

7 أسباب لموقعك يحتاج إلى شهادة SSL

لا يهم إذا كنت تطور مدونة متواضعة أو موقع تجارة إلكترونية كامل: فأنت بحاجة إلى شهادة SSL. فيما يلي بعض الأسباب العملية وراء ذلك.

اقرأ التالي

عن المؤلف