Bảo mật lớp truyền tải (TLS) là phiên bản mới nhất của giao thức lớp cổng bảo mật (SSL). Cả hai giao thức đều đảm bảo tính riêng tư và tính xác thực của dữ liệu qua internet. Các giao thức được sử dụng rộng rãi này cung cấp bảo mật đầu cuối bằng cách áp dụng mã hóa cho giao tiếp dựa trên web. Tuy nhiên, mặc dù có những điểm giống nhau của TLS và SSL, chúng cũng có những điểm khác biệt với nhau.
Ảnh : makeuseof |
Bài viết này giải thích cách hoạt động của các giao thức mã hóa TLS và SSL, tầm quan trọng của chúng, sự khác biệt của chúng và lý do tại sao đã đến lúc thích hợp để chuyển sang giao thức TLS.
Bối cảnh lịch sử của TLS và SSL
The Internet Engineering Task Force tạm dịch Lực lượng đặc nhiệm kỹ thuật Internet (IETF), tổ chức chịu trách nhiệm phát triển các tiêu chuẩn internet, đã xuất bản Request for Comments (RFC-1984), công nhận tầm quan trọng của việc bảo vệ dữ liệu cá nhân trong thời đại internet ngày càng phát triển. Netscape Communication Corporation đã giới thiệu SSL để bảo mật thông tin liên lạc web, và đã trải qua nhiều lần nâng cấp.
Phiên bản SSL 1.0 không bao giờ được phát hành do lỗi bảo mật và SSL 2.0 là phiên bản công khai đầu tiên của Netscape vào năm 1995. Tuy nhiên, do các lỗ hổng bảo mật và nhược điểm, nó đã được thay thế bằng một phiên bản SSL khác 3.0 vào tháng 11 năm 1996. Phiên bản SSL mới nhất cũng không được sử dụng do không an toàn trước cuộc tấn công POODLE vào tháng 10 năm 2014 và chính thức không được dùng vào tháng 6 năm 2015.
TLS được phát hành vào năm 1999 dưới dạng một giao thức độc lập với ứng dụng: bản nâng cấp lên SSL phiên bản 3.0 do lực lượng Đặc nhiệm Kỹ thuật Internet (IETF) thực hiện. Ý tưởng là triển khai TLS qua TCP để mã hóa các ứng dụng sử dụng các giao thức FTP, IMAP, SMTP và HTTP. Ví dụ: HTTPS là một phiên bản HTTP an toàn vì nó triển khai TLS để đảm bảo việc phân phối dữ liệu an toàn bằng cách tránh thay đổi nội dung và nghe trộm.
Hoạt động cơ bản của các giao thức TLS / SSL
Giao tiếp giữa các bên (ví dụ: trình duyệt máy tính của bạn và một trang web) bắt đầu bằng cách xác định xem nó có kết hợp giao thức TLS / SSL hay không, để khách hàng có thể chỉ định việc sử dụng mã hóa TLS bằng cách:
Chỉ định một cổng hỗ trợ mã hóa giao tiếp SSL hoặc bằng cách đưa ra các yêu cầu dành riêng cho giao thức TLS
Trong thời gian chờ đợi, một trang web yêu cầu chứng chỉ TLS / SSL được cài đặt trên máy chủ lưu trữ của nó để sử dụng giao thức. Bên thứ ba đáng tin cậy cấp chứng chỉ liên kết khóa công khai với miền sở hữu khóa cá nhân và cho phép nó mã hóa / giải mã thông tin liên lạc.
Sau khi đồng ý về việc sử dụng TLS / SSL cho giao tiếp máy khách-máy chủ, nó sẽ tiến hành bắt tay. Sự bắt tay thiết lập các thông số kỹ thuật cần thiết để trao đổi thông điệp. Phần sau đây tóm tắt loạt trao đổi thông tin để kích hoạt kết nối TLS / SSL:
Các bên đồng ý về phiên bản giao thức mà họ sẽ sử dụng, sau đó
Quyết định các thuật toán mật mã hoặc bộ mật mã để sử dụng, sau đó
Xác thực các bên liên lạc bằng khóa công khai của họ và chữ ký số của cơ quan cấp chứng chỉ, sau đó
Trao đổi các phím phiên để sử dụng trong quá trình giao tiếp. Cả hai giao thức TLS và SSL đều sử dụng mật mã không đối xứng để tạo khóa chia sẻ (công khai) và khóa riêng.
Nếu trình duyệt không thể xác thực chứng chỉTLS / SSL, nó sẽ trả về lỗi “Kết nối không phải là riêng tư.”
Sau khi thiết lập phương pháp giải mã trong quá trình bắt tay, giao thức bản ghi sử dụng mã hóa đối xứng để giao tiếp cho toàn bộ phiên. Bên cạnh đó, giao thức bản ghi cũng gắn thông báo với HMAC cho TLS và MAC cho SSL để đảm bảo tính toàn vẹn của dữ liệu.
Do đó, các giao thức thực hiện ba mục tiêu cơ bản của bảo mật:
Tính bảo mật: Mã hóa dữ liệu để ẩn dữ liệu khỏi các bên thứ ba để chỉ người nhận dự kiến mới có thể xem nội dung.
Tính toàn vẹn: Áp dụng mã xác thực tin nhắn để xác minh nội dung tin nhắn được mã hóa.
Xác thực: Xác thực danh tính của trang web / máy khách / máy chủ với sự trợ giúp của chứng chỉ để đảm bảo các bên trao đổi thông tin không thể lùi lại danh tính của họ.
Sự khác biệt giữa TLS và SSL là gì?
Như đã đề cập trước đó, sự khác biệt chính mà bạn nhận thấy giữa cả hai giao thức là cách chúng thiết lập kết nối. TLS sử dụng một cách ngầm để thiết lập kết nối thông qua một giao thức, trong khi SSL tạo kết nối rõ ràng với một cổng.
Không phân biệt tất cả các điểm khác biệt khác, tính năng cơ bản phân biệt cả hai kết nối TLS / SSL là việc sử dụng bộ mật mã quyết định tính bảo mật tổng thể của kết nối.
Phần thiết yếu của kết nối TLS / SSL là đồng ý về một bộ mật mã xác định một tập hợp các thuật toán để trao đổi khóa, xác thực, mã hóa hàng loạt và mã xác thực tin nhắn dựa trên băm (HMAC) hoặc các thuật toán mã xác thực tin nhắn, v.v. cho một phiên cụ thể. Mỗi phiên bản TLS / SSL hỗ trợ một bộ mật mã khác nhau cho phiên giao tiếp. Do đó, mỗi bộ mật mã hỗ trợ bộ thuật toán riêng để cải thiện tính bảo mật và hiệu suất kết nối tổng thể.
SSL
+ SSL là một giao thức phức tạp để triển khai.
+ SSL có ba phiên bản, trong đó SSL 3.0 là phiên bản mới nhất.
+ Tất cả các phiên bản giao thức SSL đều dễ bị tấn công.
+ SSL sử dụng mã xác thực tin nhắn (MAC) sau khi mã hóa tin nhắn để đảm bảo tính toàn vẹn dữ liệu SSL sử dụng thông báo tin nhắn để tạo bí mật chính.
TLS
+ TLS là một giao thức đơn giản hơn.
+ TLS có bốn phiên bản, trong đó phiên bản TLS 1.3 là phiên bản mới nhất
+ Giao thức TLS mang lại tính bảo mật cao.
+ TLS sử dụng mã xác thực tin nhắn dựa trên băm trong giao thức bản ghi của nó.
+ TLS sử dụng mã xác thực tin nhắn dựa trên băm trong giao thức bản ghi của nó.
Tại sao TLS thay thế SSL?
Mã hóa TLS hiện là một phương pháp tiêu chuẩn để bảo mật các ứng dụng web hoặc dữ liệu đang chuyển tiếp khỏi bị nghe trộm và giả mạo. Thật không thực tế khi cho rằng TLS là giao thức an toàn nhất vì nó dễ bị vi phạm như tội phạm và Heartbleed vào năm 2012 và 2014, nhưng nó đã cho thấy rất nhiều cải tiến về hiệu suất và bảo mật.
TLS đang thay thế SSL và hầu như tất cả các phiên bản SSL hiện không được dùng nữa do các lỗ hổng đã biết của nó. Google Chrome là một trong những ví dụ như vậy đã ngừng sử dụng phiên bản SSL 3.0 vào năm 2014 và hầu hết các trình duyệt web hiện đại không hỗ trợ SSL.
Sử dụng TLS cho giao tiếp được mã hóa
TLS giúp bảo mật thông tin nhạy cảm khi vận chuyển như chi tiết thẻ tín dụng, email, thoại qua IP (VOIP), truyền tệp và mật khẩu. Mặc dù cả hai chứng chỉ đều thực hiện nhiệm vụ mã hóa dữ liệu trong quá trình truyền tải, nhưng chúng khác nhau về chức năng và không thể tương tác với nhau.
Điều quan trọng cần lưu ý là TLS chỉ được gọi là SSL vì SSL là thuật ngữ được sử dụng phổ biến nhất và sự hiện diện của chứng chỉ không đảm bảo việc sử dụng giao thức TLS. Bên cạnh đó, bạn không cần phải lo lắng về việc thay đổi chứng chỉ SSL sang TLS vì tất cả những gì bạn cần làm là cài đặt chứng chỉ trên máy chủ vì nó hỗ trợ cả hai giao thức và quyết định sử dụng giao thức nào.