SSL vs
Side võrkude või Interneti kaudu võib muutuda väga ebaturvaliseks, kui õigeid turvameetmeid ei rakendata. See võib olla kriitilise tähtsusega selliste rakenduste jaoks nagu veebis tehtavad maksetehingud, põhjustades kliendile ja ettevõttele miljoneid dollareid kahju. Siin tulevad mängu SSL ja HTTPS. SSL on krüptograafiline protokoll, mida kasutatakse transpordikihi kohal toimuva side turvalisuse tagamiseks. HTTPS on HTTP ja SSL-i kombinatsioon, mis suudab tagada turvalisi kanaleid ebaturvaliste võrkude kaudu.
Mis on SSL?
SSL (Secure Socket Layer) on krüptograafiline protokoll, mida kasutatakse Interneti kaudu toimuva suhtluse turvalisuse tagamiseks. SSL kasutab privaatsuse säilitamiseks asümmeetrilist krüptograafiat ja sõnumite autentimiskoode, et tagada kõigi transpordikihi kohal olevate võrguühenduste töökindlus. SSL-i kasutatakse laialdaselt veebisirvimiseks, e-posti saatmiseks, faksimiseks Interneti kaudu, IM-i (kiirsõnumid) ja VoIP-i (Voce-over-IP) jaoks. SSL-i töötas välja Netscape Corporation ja sellele järgnes TLS (Transport Layer Security). SSL 2.0 ilmus 1995. aastal (versiooni 1.0 ei avaldatud kunagi avalikult) ja versioon 3.0 (välja antud aastakihina) asendas versiooni 2.0 (millel oli mitmeid olulisi turvavigu). Hiljem tutvustati TLS-i kui SSL 3.1. Praegune versioon on SSL 3.3, mis on enamasti identifitseeritud kui TLS 1.2. SSL kapseldab rakenduskihi protokolle, nagu HTTP, FTP ja SMTP, rakendades neid transpordikihi kaudu. Traditsiooniliselt on seda kasutatud koos TCP-ga (Transmission Control Protocol) ja vähemal määral UDP-ga (User Datagram Protocol). SSL-i kasutatakse koos HTTP-ga HTTPS-i hankimiseks, mis kasutab avaliku võtme sertifikaate rakenduste (nt e-kaubanduse) lõpp-punktide tuvastamiseks.
Mis on
HTTPS (HTTP Secure) on protokoll, mis on loodud HTTP (HyeperText Transfer Protocol) ja SSL/TLS protokollide kombineerimisel. HTTPS pakub turvalist sidet krüptimise teel ja tuvastab ühenduste lõpp-punktid, muutes selle ideaalseks rakenduste jaoks, nagu maksete üleminekud WWW-s (World Wide Web) või tundlike tehingute jaoks ettevõtetes. Põhimõtteliselt saab HTTPS luua turvalise ühenduse ebaturvalise võrgu kaudu. Kui kasutatud šifrikomplektid on piisavad ja serveri sertifikaadid on usaldusväärsed, kaitsevad need HTTPS-i turvalised kanalid pe altkuulajate ja Man-in-the-Middle rünnakute eest. Kuid isegi HTTPS-i kasutamisel saab kasutaja garanteerida, et kanal on täielikult turvaline ainult siis, kui kõik järgmised tingimused on täidetud: brauser rakendab HTTPS-i õigesti koos CA-dega (sertifitseerimisasutused), CA-d garanteerivad ainult legitiimsete saitide eest, sertifikaadi poolt pakutav sertifikaat. sait on kehtiv, veebisait on sertifikaadi järgi õigesti tuvastatud ja lõpuks on vahepealsed hüpped usaldusväärsed. Kõik kaasaegsed brauserid hoiatavad kasutajaid, kui nad saavad veebisaitidelt kehtetuid sertifikaate. Loomulikult antakse kasutajale võimalus omal vastutusel jätkata.
Mis vahe on SSL-il ja
Peamine erinevus SSL-i ja HTTPS-i vahel on see, et SSL on krüptograafiline protokoll, samas kui HTTPS on protokoll, mis on loodud HTTP ja SSL-i kombineerides. Kuid mõnikord ei tuvastata HTTPS-i kui protokolli per se, vaid mehhanismina, mis kasutab HTTP-d krüptitud SSL-ühenduste kaudu. Teisisõnu kasutab HTTPS turvalise HTTP-ühenduse loomiseks SSL-i. SSL-i pakutava krüptimise tõttu suudab HTTPS vastu pidada pe altkuulamistele ja keskmises rünnakutele.