GlobalSign Blog

SSL vs TLS verschil

SSL vs TLS verschil

Internetbeveiliging lijkt een beetje op alfabetsoep – SSL, TLS, ECC, SHA, de lijst is eindeloos. Al deze acroniemen maken het vaak moeilijk om te bepalen wat u echt nodig heeft. Een van de vragen die ons het meest wordt gesteld is: wat is het verschil tussen SSL (Secure Socket Layers) en TLS (Transport Layer Security)? U weet dat u uw website (of een andere vorm van communicatie) wilt beveiligen, maar heeft u SSL, TLS of beide nodig? Laten we het analyseren.

Een korte geschiedenis van SSL en TLS

SSL en TLS zijn beide cryptografische protocollen die voor authenticatie en gegevensencryptie zorgen tussen servers, machines en applicaties die deel uitmaken van een netwerk (bijv. een client die verbinding maakt met een webserver). SSL is de voorloper van TLS. In de loop der jaren zijn er nieuwe versies van de protocollen uitgebracht om de kwetsbaarheden aan te pakken en sterkere, beter beveiligde coderingssuites en algoritmes te ondersteunen.

SSL werd oorspronkelijk ontwikkeld door Netscape en werd voor het eerst op de markt gebracht in 1995 met SSL 2.0 (1.0 werd nooit openbaar gemaakt). Versie 2.0 werd al snel vervangen door SSL 3.0 in 1996 nadat een aantal zwakke plekken werden gevonden. Opmerking: versies 2.0 en 3.0 worden soms geschreven als SSLv2 en SSLv3.

TLS werd geïntroduceerd in 1999 als een nieuwe versie van SSL en was gebaseerd op SSL 3.0:

De verschillen tussen dit protocol en SSL 3.0 zijn niet groot, maar ze zijn groot genoeg dat TLS 1.0 en SSL 3.0 niet interoperationeel zijn.” 

(bron)

De huidige versie van TLS is 1.2 en TLS versie 1.3 wordt momenteel ontwikkeld.

Moet u SSL of TLS gebruiken?

Zowel SSL 2.0 als 3.0 mogen niet meer gebruikt worden van de IETF (in 2011 en 2015, respectievelijk). Er worden nog steeds nieuwe kwetsbaarheden ontdekt in de verouderde SSL-protocollen (bv. POODLEDROWN). De meeste moderne browsers tonen een slechtere gebruikerservaring (bijv. lijn door het hangslot of https in de URL-balk, beveiligingswaarschuwingen) wanneer ze verbinding maken met een webserver die de oude protocollen gebruikt. Daarom schakelt u SSL 2.0 en 3.0 best uit in uw serverconfiguratie en gebruikt u enkel TLS-protocollen.

Certificaten zijn niet hetzelfde als protocollen

Voordat iemand zich zorgen maakt dat hij zijn bestaande SSL-certificaten moet vervangen door TLS-certificaten, is het belangrijk op te merken dat certificaten niet afhankelijk zijn van protocollen. U hoeft geen TLS-certificaat vs. een SSL-certificaat te gebruiken. Hoewel heel wat leveranciers vaak de benaming 'SSL/TLS-certificaat' gebruiken, zou het nauwkeuriger zijn om hen 'certificaten voor gebruik met SSL en TLS' te noemen, omdat de protocollen worden bepaald door uw serverconfiguratie, niet de certificaten zelf.

Waarschijnlijk zal men naar deze certificaten blijven verwijzen als SSL-certificaten, omdat dat de term is waarmee de meeste mensen vertrouwd zijn, maar we merken dat de term TLS toch steeds meer gebruikt wordt in de sector. SSL/TLS is een compromis tot meer mensen vertrouwd zijn met TLS.

Zijn SSL en TLS verschillend cryptografisch gezien?

Het antwoord op deze vraag is eigenlijk ja, maar hetzelfde geldt ook voor de historische versies van SSL 2 en 3 of de TLS-versies 1 met 1.1, 1.2 of 1.3. SSL en TLS zijn ongeveer hetzelfde protocol, maar omwille van de versieverschillen was SSL 2 niet interoperationeel met versie 3, en SSL versie 3 niet met TLS versie 1. Transport Layer Security (TLS) zou als nieuwe naam voor SSL versie 4 beschouwd kunnen worden, want in feite praten we over hetzelfde protocol.

Elke nieuwe versie van het protocol bevatte en zal in de toekomst zijn eigen verbeteringen en/of nieuwe/verouderde functies bevatten. SSL versie 1 werd nooit uitgebracht, versie 2 wel maar met een aantal grote fouten, SSL versie 3 was een heruitgave van versie 2 (om deze fouten op te lossen) en TLS versie 1 was een verbetering van SSL versie 3. Sinds de release van TLS 1.0 zijn de wijzigingen minder aanzienlijk, maar daarom niet minder belangrijk.

Het is belangrijk op te merken dat SSL en TLS gewoon verwijzen naar de handdruk die plaatsvindt tussen een client en een server. De handdruk zorgt zelf niet voor encryptie, maar geeft gewoon zijn akkoord met een gedeeld geheim en het soort encryptie dat gebruikt gaat worden

Meer informatie over de nieuwe functies in TLS 1.3 vindt u in de blog van Cloudflare.

SSL 2.0 en 3.0 uitschakelen

Als u niet weet of uw servers nog steeds SSL-protocollen ondersteunen, kunt u dit makkelijk controleren met onze SSL Server Test.

SSL Server Test

De resultaten van de GlobalSign-servertest geven aan welke protocollen ingeschakeld zijn, maar dat niet zouden moeten zijn.

Voor instructies over hoe u SSL 2.0 en 3.0 kunt uitschakelen op populaire servertypes, waaronder Apache, NGINX en Tomcat, leest u ons supportartikel over dit onderwerp.

Wat is nu het verschil tussen SSL en TLS? Mensen blijven de term SSL in de praktijk gebruiken. Wat uw serverconfiguratie betreft, is het het verschil tussen kwetsbaarheden, verouderde coderingssuites en beveiligingswaarschuwingen in uw browser. Daarom schakelt u best alleen TLS-protocollen in op uw servers.

Heeft u nog vragen over SSL/TLS-configuratie en best practices? Laat het ons weten. Wij helpen u graag verder!

Share this Post