Jeśli posiadasz stronę WWW, Twoim obowiązkiem jest dbanie o bezpieczeństwo danych użytkowników. Chodzi zarówno o przypadki włamań i przejęcia informacji z bazy danych, jak i ochronę danych przesyłanych podczas połączenia z witryną pomiędzy stroną a urządzeniem internauty. Zanim uruchomisz witrynę, sprawdź, czym są SSL i TLS. Jaki mają wpływ na bezpieczeństwo użytkowników?
Protokół SSL – co to jest?
SSL (skrótowiec od: Secure Socket Layer) to bardzo popularne zabezpieczenie stosowane w sieci, które pojawiło się już w 1995 roku. Jeśli witryna korzysta z SSL, to wtedy dane przesyłane między stroną a urządzeniem użytkownika są szyfrowane. Mało prawdopodobna jest ich kradzież czy dokonanie zmiany przez niepowołane do tego osoby. Jeśli serwis korzysta z SSL, to jego adres rozpoczyna się od https:// zamiast http://.
Stosowanie tego rozwiązania jest jednym z czynników rankingowych Google, a to oznacza, że ma wpływ na pozycjonowanie stron. Raczej trudno Ci będzie znaleźć w top 10 wyników wyszukiwania serwis, który nie korzysta z SSL. Statystyki pokazują, że robi to aż 85% witryn internetowych. Jeśli dana strona nie ma włączonego szyfrowanego połączenia, Chrome oznaczy ją jako niezabezpieczoną.
Źródło: https://w3techs.com/technologies/details/ce-httpsdefault
Protokół TLS – co to jest?
TLS, czyli Transport Layer Security, jest nowszą wersją SSL. Pojawił się kilka lat po SSL (w 1999 roku), a jego wdrożenie miało związek z błędami znalezionymi w SSL, które narażały użytkowników na niebezpieczeństwo. To właśnie TLS, rozbudowana wersja tego zabezpieczenia, jest obecnie powszechnie wykorzystywana w sieci. Szyfruje on przesyłane dane i zabezpiecza tak, że nie są możliwe do odczytania. TLS wykorzystuje dwa typy szyfrowania – symetryczne i asymetryczne – co utrudnia ich zrozumienie w momencie, kiedy są przesyłane z serwera. Poniższa grafika pokazuje, jak wygląda historia SSL/TLS, a dokładnie kiedy pojawiały się poszczególne wersje.
Źródło: https://dev.to/techschoolguru/a-complete-overview-of-ssl-tls-and-its-cryptographic-system-36pd
Kiedy czytasz opis oferty hostingu, znajdziesz tam zazwyczaj informację o SSL, ale w zdecydowanej większości chodzi o TLS 1.2 albo TLS 1.3. Nieprzerwane korzystanie z nazwy SSL lub certyfikat SSL wynika z przyzwyczajenia. Była powszechnie wykorzystywana i tak pozostało. Coraz częściej używa się również nazwy SSL/TLS. Prawdopodobnie z czasem będzie już przeważać TLS.
Źródło: https://www.f5.com/labs/articles/threat-intelligence/the-2021-tls-telemetry-report
TLS vs SSL – czym się różnią te protokoły?
Jak już wiesz, TLS jest tak naprawdę nowszą wersją SSL. Co za tym idzie, zostały w nim wyeliminowane błędy poprzednika. Udział serwisów, które nadal korzystają z najnowszej wersji SSL 3.0, jest niewielki – TLS to już standard. Czym się różnią te protokoły? W uproszczeniu TLS jest po prostu bezpieczniejszym rozwiązaniem. Zawdzięczamy mu:
- Uproszczenie procesu handshake – przeglądarka uwierzytelnia wówczas certyfikat SSL lub TLS. W przypadku TLS proces przebiega szybciej, wykorzystuje mniej algorytmów, składa się z mniejszej liczby kroków, czyli protokół wprowadził zdecydowanie zmianę na plus.
- Nowocześniejszy algorytm uwierzytelniania – protokoły korzystają z uwierzytelniania do weryfikacji autentyczności wiadomości. W przypadku SSL odpowiadał za to algorytm MD5. TLS korzysta natomiast z nowocześniejszego rozwiązania – HMAC, które zapewnia większy poziom bezpieczeństwa.
- Dodatkowy typ alertu – oba protokoły korzystają z alertów, aby komunikować błędy i ostrzeżenia. W przypadku SSL występują dwa. Pierwszym jest ostrzeżenie, które wskazuje, że wystąpił błąd, ale nie trzeba przerywać połączenia. Natomiast krytyczne ostrzeżenie oznacza, że należy to zrobić natychmiast. TLS wprowadziło nowy alert, mianowicie powiadomienia o zamknięciu wskazujące na koniec sesji. Poza tym alerty TLS są szyfrowane, a SSL – nie.
Czy Twoja strona powinna korzystać z SSL/TLS? Tak, to konieczność, mając na uwadze bezpieczeństwo użytkowników, widoczność w Google i konwersję. Niemal na pewno Twój serwer zapewnia TLS w wersji 3.1 lub 2.1 a nie już stare SSL 3.0.
