SSL vs TLS: Kend dine protokoller for 2023
Google krakker ned på webstedets sikkerhed. Fra Chrome version 62 skal alle websteder med tekstindtastningsfelter have et SSL-certifikat, eller Google markerer webstedet som ikke sikkert med et rødt advarselsskilt ved siden af webadressen.
Ændringen kommer også på et interessant tidspunkt, i betragtning af det nylige pres for browsere og servere til at understøtte TLS. Men hvis du er ny til webstedets opbygningspil, er alle disse forkortelser muligvis nok til at få dit hoved til at dreje.
Vi er her for at afhjælpe forvirringen omkring SSL og TLS og vise dig, hvordan du holder dit websted i den grønne zone. Vi sammenligner, hvad sikkerhedsprotokollerne sigter mod at udføre, går over det nyeste inden for krypterede forbindelser og fører dig gennem at købe et certifikat til dit websted.
SSL vs TLS
SSL og TLS gør det samme. De er krypterede protokoller til dataoverførsel. De arbejder ved at etablere et håndtryk mellem to maskiner. Håndtrykket inkluderer chiffer, godkendelse og nøgleudveksling. Når det er gjort, åbnes en sikker forbindelse mellem maskinerne.
Dataene, der kører mellem maskiner, krypteres og fragmenteres derefter til en bestemt størrelse, afhængigt af krypteringen, og sendes til netværkets transportlag. Krypteret beskæftiger sig med krypteringen, ikke håndtrykket. SSL- og TLS-protokollerne bruges simpelthen til at fuldføre håndtrykket og blive enige om en krypteringsmodel.
Hvad er SSL & TLS?
SSL står for “Secure Sockets Layer.” Den blev udviklet af Netscape og først frigivet for offentligheden i 1995. Den offentlige udgivelse var version to, og hackere fandt hurtigt måder at bryde igennem. Et år senere frigav Netscape version tre, som blev betragtet som sikker i otte år.
I 2014 gjorde POODLE-angrebet SSL 3.0 usikker, men ingen vidste det på det tidspunkt. TLS (Transport Layer Security), som er en mere sikker version af SSL, blev frigivet i 1999 og kom med en drop back-mekanisme til SSL 3.0 for bagudkompatibilitet.
Denne kompatibilitet blev indbygget, fordi POODLE-angrebet, en mand-i-midten-udnyttelse, misbrugte denne bagudkompatibilitet (for at læse mere om MitM-angreb, se vores artikel om farerne ved offentlig WiFi).
TLS 1.1 kom ud i 2006 og 1.2 fulgte i 2008. TLS 1.2 er den nuværende og mest sikre protokol, skønt 1.3 blev godkendt tidligere i år. Vi forventer, at browsere og servere vil støtte det snart.
Protokollerne er forskellige, men ikke mere end de forskellige versioner af SSL. Den samme proces sker, et håndtryk mellem to maskiner, men protokollens version bestemmer, hvordan det sker.
Problemet med bagudkompatibilitet
Forvirringen omkring SSL og TLS kommer fra bagudkompatibilitet. TLS 1.2 har rester af tidligere versioner af SSL for at gøre det kompatibelt med forældede browsere. Som sådan har mange websteder ikke deaktiveret de funktioner, der gør en protokol, såsom TLS 1.2, usikker.
Det er her TLS 1.3 kommer ind. Det er bygget til at deaktivere ældre funktioner og fremskynde ydelsen på en sikker forbindelse. I stedet for at blive enige om en krypteringsmodel, leverer serveren krypteringsnøglen med TLS 1.3. Det gør teoretisk de flere nedgraderingsangreb, som tvinger serveren til at bruge en ældre protokol, forældede.
Den seneste opdatering er et skub i retning af det moderne internet og opgiver den forældede model, der blev etableret af tidlige versioner af SSL. Forhåbentlig inden for få år vil angreb som POODLE ikke være så meget bekymrende, som de er i dag.
Brug af TLS på dit websted
Den TLS-protokol, der bruges til dit websted, er afhængig af den server, du er vært på. De bedste udbydere af webhosting bruger TLS 1.1 og 1.2 udelukkende, med 1.0 generelt reserveret til webstedsbyggere, der ikke inkluderer e-handel.
Den endelige version af TLS 1.3 blev kun offentliggjort for et par uger siden, så det vil tage tid, før webhostene understøtter det. Kinsta har for eksempel allerede behandlet frigivelsen af TLS 1.3 og tager skridt til at implementere det (læs vores Kinsta-gennemgang).
Så længe du bruger et SSL-certifikat, bliver din besøgende forbindelse krypteret. På trods af den forældede navneordning fungerer certifikater stadig med de nyeste protokoller, selv TLS 1.3. Selve certifikatet krypterer ikke noget.
Certifikater bruges simpelthen som en verifikationsmetode. Forskellige former for SSL- og TLS-certifikater viser det tillidsniveau, en browser har til dit domæne. Vi gennemgår dem i det næste afsnit.
Hvis du har et certifikat, uanset om det er et gratis fra Dreamhost eller et betalt et fra HostGator, kan dit websted oprette forbindelse ved hjælp af den seneste protokol, som din server bruger (læs vores Dreamhost-gennemgang og HostGator-gennemgang).
Der er et par måder at kontrollere det på. Den første er gennem din webhosts vidensbase. GoDaddy har for eksempel en lille tabel, der viser, hvilken TLS-version din server understøtter, afhængigt af den hostingplan, du er på (læs vores GoDaddy-anmeldelse).
Du kan også teste din webserver ved hjælp af SSL-servertesten fra SSL Labs. Det viser dig, hvilken protokol din server bruger, såvel som krypteringsmetoden, og giver dig en samlet bedømmelse.
SSL- og TLS-certifikattyper
Igen defineres SSL-certifikater bedre som “certifikater, der kan bruge SSL og TLS,” så vi kalder dem SSL-certifikater for at undgå forvirring i dette afsnit. Overalt, hvor du læser SSL eller TLS uden en protokolversion, vil de være de samme ting.
Domæne validerede certifikater
Den mest basale form for SSL-certifikat er et domænevalideret certifikat, der kontrollerer mod domæneregistret. I det væsentlige verificerer det, at det domæne, en bruger forsøger at få adgang til point til den korrekte DNS-server.
Det er det billigste certifikat at få, ofte inkluderet i pakker gratis. Jimdo, et af vores bedste webstedsbyggervalg, inkluderer et Let’s Encrypt DV-certifikat gratis, ligesom mange webstedbyggeri og webhost (se vores Jimdo-anmeldelse).
DV-certifikater er dog højrisiko, da browsere ofte ikke kan validere, hvis virksomheden på webstedet er legitim. I Chrome ser du normalt https-protokollen med en rød lås med en skråstreg gennem den til venstre.
Hvis du kører en blog eller et personligt sted, er et DV-certifikat fint, men hvis du anmoder om personlige oplysninger, især kreditkortinfo, skal du bruge noget stærkere.
Organisation validerede certifikater
Organisation validerede certifikater kontrollerer mod virksomheden eller organisationen. Agenter fra Certificate Authority kontrollerer regeringsdatabasedatabaser for at sikre, at webstedet er ægte. Alle data i et OV-certifikat er legitime.
Hvis du driver en kommerciel virksomhed online, er dette det certifikat, du skal bruge. Din URL bruger stadig https, men der er en lås ved siden af adresselinjen. I Chrome er det grønt med ordet “sikkert” til højre.
Udvidet valideringscertifikat
OV-certifikater er gode, men udvidede valideringscertifikater er bedre. OV-certifikater kræver en enkelt vetting fra CA, mens EV-certifikater kræver løbende overvågning baseret på retningslinjerne for udvidet validering.
Bekræftelsesprocessen er meget strengere, og prisen er meget højere. For større online-forretninger kan et EV-certifikat imidlertid forbedre forbrugertilliden og øge salget online.
Intet andet er certifikatet stort set unødvendigt. Selv store websteder, der ikke indsamler brugeroplysninger, bruger ikke EV-certifikater. Hvis du bruger en, viser browseren en grøn adresselinje med en lås sammen med navnet på din virksomhed.
Afsluttende tanker
Der er ingen mangel på forvirrende akronymer, når det gælder cybersikkerhed, og ændringen fra SSL til TLS hjælper ikke det. Selvom protokollerne er forskellige, når de det samme mål: en sikker forbindelse mellem serveren og brugeren.
For så vidt angår certifikater, er betingelserne udskiftelige, så du skal ikke bekymre dig om at opgradere et SSL-certifikat til et TLS-certifikat. De er de samme ting.
Hvis du leder efter webhostingudbydere, der kan guide dig gennem processen, skal du sørge for at læse vores bedste billige webhosting for at lære, hvordan du gør det uden meget mønt.
Er der noget andet, du er nysgerrig efter med SSL- eller TLS-forbindelser? Fortæl os det i kommentarerne herunder og som altid tak for læsningen.