SSL расшифровывается как Secure Socket Layer, что означает «уровень защищенных сокетов». TLS же обозначается как Transport Layer Security — «безопасность транспортного уровня». По своей сути обе технологии занимаются одним делом – защитой пользовательской информации от злоумышленников.
В данном посте не будет технических моментов или сложных фраз для понимания, а будем ориентироваться на теоретический кратки материал для поверхностного понимания протоколов.
Вот полная хронология выпусков SSL и TLS:
- SSL 1.0 — никогда не публиковался из-за проблем с безопасностью.
- SSL 2.0 — выпущен в 1995 г. Устарел в 2011 г. Имеет известные проблемы с безопасностью.
- SSL 3.0 — выпущен в 1996 г. Устарел в 2015 г. Имеет известные проблемы с безопасностью.
- TLS 1.0 — выпущен в 1999 году как обновление до SSL 3.0. Планируемый отказ от поддержки в 2020 году.
- TLS 1.1 — выпущен в 2006 г. Прекращение поддержки запланировано на 2020 г.
- TLS 1.2 — выпущен в 2008 году.
- TLS 1.3 — выпущен в 2018 году.
Почему он называется SSL-сертификатом, если SSL устарел?
Но почему мы до сих в обиходе продолжаем использовать аббревиатуру SSL вместо TLS? Должны ли вы использовать TLS вместо SSL? TLS заменяет SSL? Более логичным, на мой взгляд, ответ будет в том, чтобы считать это одним и тем же сртификатом с той же разницей, что TLS основан на SSL и является продолжением его новых версий с новой аббревиатурой.
Причина, по которой большинство людей до сих пор называют их только SSL-сертификатами, в основном связана с брендингом. Большинство основных поставщиков сертификатов по-прежнему называют сертификаты SSL-сертификатами, поэтому соглашение об именах сохраняется и, зачастую, их так и называют SSL/TLS — сертификатом и в этом нет ошибки.
TLS более безопасен и эффективен, большинство современных веб-браузеров больше не поддерживают SSL 2.0 и SSL 3.0. Например, Google Chrome прекратил поддержку SSL 3.0 еще в 2014 году, а большинство основных браузеров прекратили поддержку TLS 1.0 и TLS 1.1 в 2020 году.
И еще одно отличие заключается в том, что TLS развивался, как протокол, независимый от приложений, тогда как SSL изначально планировалось использовать только для подключений HTTP.
Как работает SSL/TLS?
Без подключения SSL/TLS контакт между пользователем и веб-сайтом происходит через канал HTTP. А это означает, что вся передаваемая информация находится в открытом виде: доступ к данным лежит на поверхности. То есть, когда происходит связь между пользователем и сайтом, например, при оплате билетов на самолет, вся информация, включая паспортные данные, может быть получена злоумышленником. Такое происходит, если на сайте не используются сертификаты защиты.
При подключении SSL/TLS, пользователь устанавливает соединение с веб-сервером HTTPS, который защищает все конфиденциальные данные при передаче. Кроме того, срабатывает привязка криптографического ключа к передаваемой информации и выполняется шифровка данных, которую никто не сможет перехватить.
