پروتکل های SSL و TLS چه تفاوت هایی دارند؟

تفاوت‌های SSL و TLS چیست؟ یافتن پاسخ این سؤال برای کسانی که در زمینه امنیت وب فعالیت می‌کنند یا به آن علاقه‌مند هستند، اهمیت زیادی دارد. می‌دانیم که هردو پروتکل برای رمزگذاری داده‌ها و انتقال امن آن‌ها در فضای اینترنت استفاده می‌شوند؛ اما تفاوت‌های مهمی هم دارند که در این مقاله قصد داریم بررسی‌شان کنیم.

منظور از پروتکل SSL و TLS چیست؟

SSL (لایه سوکت‌های امن) یک پروتکل ارتباطی یا مجموعه‌ای از قوانین است که بین دو دستگاه یا برنامه‌های کاربردی در یک شبکه، اتصال امن برقرار می‌کند. مهم است که قبل از به‌اشتراک‌گذاری داده‌ها از طریق اینترنت، طرف مقابل را احراز هویت کنید؛ کاری که فناوری SSL برایتان انجام می‌دهد و در هر شبکه‌ای، یک کانال ارتباطی امن و رمزگذاری‌شده ایجاد می‌کند.

بااین‌حال، SSL یک پروتکل قدیمی است که نقص‌های امنیتی هم دارد. TLS (امنیت لایه حمل‌ونقل) نسخه ارتقایافته SSL است که آسیب‌پذیری‌های آن را برطرف می‌کند و با کارایی بیشتری احراز هویت می‌شود. همچنین از کانال‌های ارتباطی رمزگذاری‌شده پشتیبانی می‌کند.

«طاهر الجمل» مسئولیت رهبری توسعه SSL را به‌عهده داشت و SSL 2.0 را به‌صورت عمومی در سال ۱۹۹۵ منتشر کرد. هدف SSL حفظ امنیت ارتباطات در شبکه جهانی وب بود. پس از مدتی، «تیم دیرکس» و «کریستوفر آلن» TLS 1.0 را در سال ۱۹۹۹ به‌عنوان جانشین SSL 3.0 ایجاد و منتشر کردند.

شباهت پروتکل های SSL و TLS

SSL و TLS هردو پروتکل‌های ارتباطی هستند که داده‌ها را بین سرورها، برنامه‌ها، کاربران و سیستم‌ها رمزگذاری می‌کنند. آن‌ها دو طرف متصل از طریق یک شبکه را احراز هویت می‌کنند تا داده‌ها در فضای امن مبادله شوند. در ادامه، شباهت‌های این دو پروتکل را بیشتر توضیح می‌دهیم.

نام گذاری

TLS جانشین مستقیم SSL است و هم‌اکنون تمامی نسخه‌های SSL منسوخ شده‌اند. با این وجود، استفاده از اصطلاح SSL برای توصیف اتصال TLS همچنان رایج است. در بیشتر موارد، هردو اصطلاح SSL و SSL/TLS به پروتکل TLS و گواهی‌های TLS اشاره دارند.

هدف

TLS یک پروتکل ارتباطی امن است که رمزگذاری و احراز هویت را فعال می‌کند و این نکته در مورد SSL هم صادق بود؛ البته تا قبل از اینکه منسوخ شود. همچنین TLS و SSL هردو از گواهی‌های دیجیتالی استفاده می‌کنند که فرایند Handshake را تسهیل و بین مرورگر و وب‌سرور، ارتباطات رمزگذاری‌شده برقرار می‌کند.

استفاده در HTTPS

HTTP یک پروتکل یا مجموعه‌ای از قوانین ارتباطی برای برقراری ارتباط بین کلاینت و سرور در هر شبکه است. HTTPS هم ایجاد یک پروتکل امن SSL/TLS بر یک اتصال HTTP ناامن است. قبل از اتصال به وب‌سایت، مرورگر شما از TLS برای بررسی گواهی TLS یا SSL وب‌سایت استفاده می‌کند.

گواهی‌نامه‌های TLS و SSL نشان می‌دهند که سرور به استانداردهای امنیتی فعلی پایبند است. حالا چطور می‌توانید این را تشخیص دهید؟ کافی است به نوار آدرس مرورگر دقت کنید. یک اتصال معتبر و رمزگذاری‌شده https:// را به‌جای http:// نمایش می‌دهد. حرف S در انتهای این عبارت، مخفف کلمه «Secure» به‌معنای امن است.

حالا که با شباهت‌های این دو پروتکل آشنا شدیم، بیایید به سراغ بررسی تفاوت‌های SSL و TLS برویم.

تفاوت های کلیدی SSL و TLS

اگرچه اهداف SSL و TLS بسیار شبیه به یکدیگر هستند، اما این پروتکل‌های ارتباطی عملکرد متفاوتی دارند. این تغییرات به مرور زمان ایجاد شد، چون پیش از انتشار TLS، ورژن‌های مختلفی از SSL ایجاد و عرضه شد. در این بخش، به مهم‌ترین تفاوت‌های SSL و TLS می‌پردازیم.

فرایند هند شیک SSL/TLS

Handshake فرایندی است که در طی آن، گواهی SSL یا TLS سرور توسط مرورگر تأیید می‌شود. این فرایند ابتدا هردو طرف را احراز هویت و سپس کلیدهای رمزنگاری را مبادله می‎کند.

هند شیک SSL یک اتصال صریح بود، درحالی‌که این فرایند در TLS یک اتصال ضمنی است. همچنین فرایند هند شیک SSL مراحل بیشتری نسبت به TLS داشت. با حذف مراحل اضافی و کاهش تعداد کل مجموعه‌های رمزنگاری، TLS این روند را سرعت بخشیده است.

پیام های هشدار

پیام‌های هشدار نحوه ارتباط پروتکل‌های SSL و TLS با خطاها و هشدارها هستند. در SSL فقط دو نوع پیام هشدار وجود داشت؛ اخطار و مرگ‌بار. اخطار به این معنا بود که خطایی رخ داده است، اما اتصال می‌تواند ادامه یابد. هشدار مرگ‌بار هم نشان می‌داد که اتصال باید فوراً قطع شود. علاوه بر این، پیام‌های SSL رمزگذاری نمی‌شدند.

در مقابل، گواهی TLS یک نوع پیام هشدار اضافی به نام اعلان بسته (Close) هم دارد که پایان Session را نشان می‌دهد. ضمن اینکه تمامی هشدارهای TLS برای امنیت بیشتر رمزگذاری می‌شوند.

کد احراز هویت پیام

هردو پروتکل SSL و TLS از کدهای احراز هویت پیام (MACs) استفاده می‌کنند که یک تکنیک رمزنگاری برای تأیید صحت و یکپارچگی پیام‌هاست. با استفاده از یک کلید مخفی، پروتکل یک کد رمز با طول ثابت تولید و آن را به پیام اصلی متصل می‌کند.

پروتکل SSL از الگوریتم MD5 برای تولید MAC استفاده می‌کرد که الان قدیمی شده است. در مقابل، TLS از کد احراز هویت مبتنی بر هش (HMAC) برای رمزگذاری و امنیت پیچیده‌تر استفاده می‌کند.

مجموعه های رمزگذاری

مجموعه‌ای از الگوریتم‌هاست که کلیدهایی را برای رمزگذاری اطلاعات بین مرورگر و سرور ایجاد می‌کند. به‌طور معمول، یک مجموعه رمزگذاری شامل الگوریتم تبادل کلید، اعتبارسنجی، رمزگذاری انبوه و یک الگوریتم MAC است. تعدادی از این الگوریتم‌ها در TLS به دلیل چالش‌های امنیتی در SSL تقویت شدند و ارتقا یافتند.

تفاوت گواهی SSL با گواهی TLS چیست؟

درحال‌حاضر، دیگر از گواهی‌نامه‌های SSL استفاده نمی‌شود و گواهی‌نامه‌های TLS استاندارد هستند. با‌این‌حال، همچنان از اصطلاح SSL برای اشاره به گواهی‌های TLS استفاده می‌شود. گواهی‌های TLS روی SSL تکرار شده‌اند و در طول زمان، آن‌ها را بهبود بخشیده‌اند. عملکرد نهایی گواهی‌های SSL و TLS هم تغییری نکرده است.

آیا باید گواهی SSL را به گواهی TLS تغییر دهیم؟

درحال‌حاضر، اکثر گواهی‌نامه‌های TLS به‌اشتباه گواهی‌نامه SSL نامیده می‌شوند. بنابراین حتی اگر گواهی شما با نام SSL عرضه شده است، جای نگرانی نیست و از پروتکل‌های SSL و TLS پشتیبانی می‌کند.

البته مهم است که بدانید TLS 1.0 و TLS 1.1 نیز به‌طور رسمی در سال ۲۰۲۱ منسوخ شدند. فراموش نکنید که گواهی‌ها همان پروتکل نیستند و باید مطمئن شوید که پیکربندی سرور شما از پروتکل‌های TLS پشتیبانی می‌کند.

تفاوت های SSL و TLS در یک نگاه

جمع بندی: تفاوت‌های SSL و TLS چیست؟ 

در این مقاله به بررسی شباهت‌ها و تفاوت‌های SSL و TLS پرداختیم که دو پروتکل امنیتی برای رمزگذاری داده‌ها و انتقال امن آنها در فضای وب هستند. البته پروتکل SSL هم‌اکنون منسوخ شده است و حتی اگر یک گواهی به این نام صادر شود، در واقع از پروتکل TLS پشتیبانی می‌کند. اگر به‌دنبال یک گواهی‌نامه امنیتی معتبر هستید، باید به ‌سراغ نسخه ۱.۲ یا ۱.۳ TLS بروید.