Pewność bezpieczeństwa w sieci jest w stanie zagwarantować odpowiednie szyfrowanie połączenia internetowego. Użytkownicy stają się coraz bardziej świadomi niebezpieczeństw, które czyhają w internecie i zwracają uwagę na profesjonalną ochronę danych w poszczególnych serwisach. Warto więc mieć świadomość, czym tak naprawdę różnią się popularne protokoły szyfrowania informacji.

Protokoły kryptograficzne

SSL i TLS to dwa protokoły kryptograficzne, które zapewniają uwierzytelnianie i szyfrowanie danych między serwerami, urządzeniami i aplikacjami działającymi w sieci (np. klientem łączącym się z serwerem internetowym). SSL jest poprzednikiem TLS – nowe wersje protokołów wydawane są w celu rozwiązania luk w zabezpieczeniach oraz dodania obsługi silniejszych, bezpieczniejszych zestawów algorytmów szyfrowania. Najczęściej używany jest zwrot „Certyfikat SSL / TLS”, jednak bardziej doprecyzowana nazwa to „certyfikaty do użytku z SSL i TLS”. Wynika to z faktu, że protokoły te są określone przez konfigurację serwera, a nie same certyfikaty.

SSL i TSL

W założeniach certyfikat SSL opracowany został z myślą o umożliwieniu transmisji zaszyfrowanych informacji między serwerem, a urządzeniami końcowymi. Projekt powstał w 1994 roku, z inicjatywy firmy Netscape. Certyfikaty SSL bardzo szybko zdobyły sporą popularność, m.in. ze względu na nieskomplikowaną instalację i prostotę użytkowania. TLS został wprowadzony w 1999 roku jako nowa wersja SSL, oparta na SSL 3.0: Zadaniem tego protokołu jest zapewnienie trójstopniowej ochrony danym przesyłanym z użyciem HTTPS. TSL opiera się na integralności informacji, a także zabezpieczeniu przed przekierowaniem do niebezpiecznej strony internetowej. Dane są w całkowicie poufne, dzięki czemu nie ma możliwości ich zmiany w momencie transferu – jakakolwiek próba modyfikacji przez osoby trzecie zostałaby wykryta automatycznie.

SSL czy TLS?

Przez lata wykryto wiele luk w przestarzałych protokołach SSL (np. POODLE, DROWN – opisywaliśmy część ataków wykorzystujących podatności w SSL w jednym z naszych wcześniejszych wpisów: Jak zabezpieczyć się przed atakami na SSL?). Zarówno SSL 2.0, jak i 3.0 zostały wycofane przez IETF (odpowiednio w 2011 i 2015 r.). Większość współczesnych przeglądarek uniemożliwia obsługę stron WWW korzystających ze starych protokołów, m.in. poprzez wyświetlenie stosownego ostrzeżenia. Należy więc wyłączyć SSL 2.0 i 3.0 w konfiguracji serwera, pozostawiając włączone tylko protokoły TLS. Dotychczasowych certyfikatów SSL nie trzeba jednak zamieniać certyfikatami TLS, ponieważ nie są one zależne od protokołów. Teoretycznie zarówno SSL, jak i TSL pasują do wielu systemów kryptograficznych, jednak można to samo powiedzieć o starszych wersjach SSL 2 i 3 lub TLS w wersji 1.1, 1.2 lub 1.3. Protokoły SSL i TLS dotyczą tego samego protokołu, ale występują różnice w wersjach.- np. SSL 2 nie był zgodny z wersją 3, a wersja SSL 3 z wersją 1 TLS. Transport Layer Security (TLS) to praktycznie nowa nazwa SSL v4, który jest niemal identycznym protokołem.

Bezpieczeństwo w sieci

Wdrożenie protokołów szyfrowania informacji przynosi bardzo wiele korzyści, nie tylko tych związanych ze zwiększeniem bezpieczeństwa strony. SSL i TSL należą do istotnych czynników rankingujących algorytmów Google, a tym samym pozwalają na osiąganie wyższej pozycji serwisu w wynikach wyszukiwania. Odpowiednie szyfrowanie połączenia internetowego znacząco zwiększa również wiarygodność oraz prestiż strony, co przyczynia się do rosnącego zaufania użytkowników. W ten sposób można np. zwiększyć sprzedaż w sklepie internetowym, w związku z czym zastosowanie certyfikatów SSL/TSL okazuje się praktycznie niezbędne do osiągnięcia sukcesu w internetowej działalności.