TLS مقابل SSL - الاختلافات والتاريخ والأهمية لأمان الويب

ما هو SSL؟

SSL أو طبقة مآخذ التوصيل الآمنة واحد بروتوكول التشفير والتي تستخدم لإنشاء اتصال آمن (اتصال مشفر) بين عميل—عادةً المتصفح—و الخادم صُمم. الغرض الرئيسي من SSL هو ضمان عدم إمكانية قراءة أو معالجة البيانات المتبادلة بين المستخدم والخادم على الإنترنت من قِبل جهات خارجية.

ولكن لفهم SSL بشكل أفضل، نحتاج إلى فهم بنيته وكيفية عمله بمزيد من التفصيل.

1. في أي طبقة من الشبكة يعمل SSL؟

SSL في طبقة الجلسة يعمل بين طبقات التطبيق والنقل في نموذج OSI.

وهذا يعني أن SSL يؤمن بروتوكولات مثل HTTP بشكل مباشر وينشئ نسخة آمنة منها، مثل:

• HTTP → HTTPS

• SMTP → SMTPS

• FTP → FTPS

وهذا يعني أن SSL هو جوهر اتصالات الشبكة ويمكن استخدامه مع بروتوكولات مختلفة.

٢. كيف يُؤمّن بروتوكول SSL البيانات؟ (شرح من خبير)

يستخدم SSL ثلاثة ركائز أمنية مهمة:

1. المصادقة

استخدام شهادة SSL والذي يتضمن المفتاح العام، يمكن للمتصفح التحقق من أنه يتواصل مع الخادم الحقيقي إنه ليس خادمًا وهميًا.

2. التشفير

يتم تشفير كافة البيانات بين المتصفح والخادم من أجل:

• لا يمكن لأحد قراءة محتواهم (السرية)

• المحتوى لا يتغير على طول الطريق (النزاهة)

3. تبادل المفاتيح

يستخدم SSL خوارزميات تشفير غير متماثلة لتبادل المفاتيح، على سبيل المثال:

• آر إس إيه

• ديفي-هيلمان

• تشفير المنحنى الإهليلجي (ECC)

بعد تبادل المفتاح الآمن، يتحول الاتصال إلى تشفير متماثل عالي السرعة (على سبيل المثال AES-128 أو AES-256).

٣. ما هي مصافحة SSL؟ (بشكلٍ مُفصّل وبسيط)

مصافحة SSL هي عملية يتم فيها:

1. يخبر المتصفح الخادم بإصدار SSL ومجموعات التشفير التي يدعمها.

2. يقوم الخادم بإرسال شهادة SSL.

3. يقوم المتصفح بالتحقق من صحة الشهادة (CA / التاريخ / المجال).

4. يقوم المتصفح بإنشاء مفتاح الجلسة وتشفيره.

5. يستخدم كلا الطرفين هذا المفتاح للتشفير السريع والآمن.

تشكل هذه العملية أساس أمان HTTPS وجميع اتصالات الويب الآمنة.

4. لماذا لم يعد يوصى باستخدام SSL؟

لدى SSL العديد من المشاكل الرئيسية:

خوارزميات التشفير القديمة والضعيفة

لم تعد RC4 و3DES وMD5 وSHA-1 آمنة.

هجمات صالحة ضد SSL

توفر SSL الحماية ضد الهجمات الموثقة مثل:

• بودل

• وحش

• غرق

• Heartbleed (لـ OpenSSL)

إنه عرضة للخطر.

أصبحت إصدارات SSL قديمة تمامًا.

• SSL 1.0—لم يتم إصداره مطلقًا

• SSL 2.0 - غير آمن وقديم

• SSL 3.0—تم تعطيله بواسطة جميع المتصفحات

لهذا السبب تم استبدال SSL بـ TLS..

5. فلماذا لا نزال نقول "شهادة SSL"؟

على الرغم من أن بروتوكول SSL أصبح قديمًا، إلا أن المصطلح شهادة SSL لا يزال يستخدم لأنه:

• علامة تجارية راسخة

• المستخدمون معتادون على ذلك.

• يتم تثبيت الشهادات لـ TLS ولكنها تظل تسمى SSL.

وهذا يعني أنه عند شراء شهادة SSL، فإنك تشتريها فعليًا مقابل TLS 1.2 أو TLS 1.3 يتم استخدامه.

لماذا ظهر TLS؟ وما هو TLS؟

بروتوكول أمان طبقة النقل (TLS) إنه جيل جديد ومتطور من SSL تم تصميمه لمعالجة نقاط الضعف الأمنية في الإصدارات القديمة من SSL وتوفير معيار أكثر حداثة للاتصالات الآمنة.

أثناء الاستخدام الواسع النطاق لـ SSL 2.0 و SSL 3.0تم تحديد مشكلات أمنية خطيرة، بما في ذلك:

• الضعف في مواجهة الهجمات التشفيرية (مثل POODLE في SSL 3.0)

• ضعف في خوارزميات التشفير القديمة مثل RC4

• عدم وجود الدعم المناسب لتبادل المفاتيح الآمنة

• الهياكل التشفيرية الضعيفة ونقص السرية الأمامية

وبسبب هذه المشاكل، قرر فريق IETF بدلاً من تحسين SSL بشكل مستمر، جيل جديد كلياً من بروتوكولات الأمان وكانت النتيجة هي إصدار TLS 1.0 في عام 1999.

ما هو TLS؟

بروتوكول TLS إنه بروتوكول تشفير قياسي لإنشاء اتصالات شبكية آمنة بين طبقة ارتباط البيانات. ينقل والطبقة طلب لقد تم وضعه.

يضمن هذا البروتوكول ما يلي عند الاتصال بين العميل والخادم:

1. السرية - سرية البيانات

يتم تشفير كافة البيانات قبل نقلها بحيث لا يمكن قراءتها إذا تم استنشاقها.
يدعم TLS خوارزميات التشفير الحديثة مثل AES.

2. النزاهة – سلامة البيانات

بمساعدة HMAC، يضمن TLS عدم تمكن أي مهاجم من تغيير البيانات أثناء النقل دون أن يلاحظ العميل ذلك.

3. المصادقة

يستخدم TLS الشهادات الرقمية (شهادات X.509) للمصادقة على الخادم، وإذا لزم الأمر، على العميل.

ما الذي يميز TLS عن SSL؟

1. استخدم خوارزميات تشفير أكثر أمانًا

يقوم TLS باستبدال الخوارزميات الضعيفة لـ SSL ويستبدلها بمجموعة من مجموعات التشفير الحديثة والموثوقة.

2. دعم السرية الأمامية

يتيح TLS 1.2 وTLS 1.3 على وجه التحديد ميزة Forward Secrecy باستخدام ECDHE.
وهذا يعني أنه حتى لو تم تسريب المفتاح الخاص للخادم في المستقبل، فلن يتمكن المهاجم من فك تشفير سجل حركة المرور القديم.

3. مصافحة أسرع وأكثر أمانًا

وخاصة في TLS 1.3 أصبحت عملية المصافحة أسهل وأسرع بكثير (تم تقليصها إلى 1 RTT وحتى 0-RTT في بعض الحالات).

4. إصلاح ثغرة SSL بالكامل

TLS هو إصدار متطور وآمن من SSL، وإصدارات SSL أصبحت قديمة عمليًا اليوم.

الاختلافات الفنية الهامة بين SSL وTLS

فوائد وقدرات TLS في عالم الويب اليوم

1. أمان عالي ومقاومة للهجمات الحديثة:يمنع TLS التنصت والحقن وتعديل البيانات باستخدام التشفير القوي والخوارزميات الحديثة.

2. سرعة وكفاءة أفضل:خاصةً في TLS 1.3، يتم إنشاء اتصال آمن بشكل أسرع ويكون زمن الوصول أقل.

3. دعم HTTPS وأمان الموقعاليوم، تستخدم كافة المواقع الإلكترونية الحديثة بروتوكول TLS لنقل البيانات بشكل آمن.

4. التوافق مع معايير الويب الحالية:TLS متوافق مع HTTP/2، وTLS 1.3، والمتصفحات الجديدة، والخدمات السحابية.

5. مصداقية المستخدم وثقتهيساعد استخدام TLS وHTTPS على بناء الثقة مع المستخدمين ومحركات البحث ويضمن أمان البيانات الحساسة (مثل المدفوعات وتسجيل الدخول والنماذج).

لماذا لا يزال بعض الأشخاص يستخدمون مصطلح "شهادة SSL"؟

حتى مع استخدام TLS، يُستخدم مصطلح "شهادة SSL" كاسم شائع للشهادة نفسها. ويعود ذلك ببساطة إلى العادة والخلفية التاريخية؛ فعمليًا، البروتوكول الحديث والآمن المستخدم هو TLS.

لذلك عندما نقول "شهادة SSL"، فإننا نعني عادةً الشهادة الصادرة لـ TLS.

الخلاصة - TLS هو الخيار القياسي والآمن لشبكة الويب اليوم

نظرًا للتطورات الأمنية والهجمات المعقدة والحاجة إلى السرعة والكفاءة ومعايير الويب الحديثة، بروتوكول TLS يُعتبر خليفةً لبروتوكول SSL. إذا كان لديك موقع أو خادم، فتأكد من تفعيل بروتوكول TLS - ويفضل الإصدار 1.2 أو 1.3. سيؤدي هذا إلى:

• تم ضمان أمن بيانات المستخدم.

• يحافظ على التوافق مع المتصفحات والمعايير

• يصبح أداء الاتصال أسرع وأكثر كفاءة.

وباختصار، TLS اليوم الركيزة الأساسية لأمن الاتصالات عبر الويب إنها.