تفاوت SSL و TLS چیست و کدام یک بهتر است؟

تفاوت SSL و TLS چیست؟
Avatar
نویسنده: پارسا مهرآئین
یکشنبه 14 آبان 1402
مطالعه: ۱۳ دقیقه ۰ نظر ۱۰۴۱ بازدید

تفاوت SSL و TLS چیست؟ اگر شما هم به موضوع امنیت وب علاقه داشته باشید، احتمالاً با این سؤال مواجه شده‌اید. در یک مفهوم ساده و مختصر، هر دو پروتکل SSL و TLS برای رمزگذاری داده‌ها در دنیای وب استفاده می‌شوند؛ اما نحوه‌ی کار این دو و تفاوت بینشان موضوعی نیست که با یک جمله بتوان به آن رسید. این مقاله از آموزش SSL بلاگ پارس پک قرار است تفاوت پروتکل‌‌های SSL و TLS را به شما بگوید؛ پس با ما همراه باشید.

مختصری در مورد تفاوت SSL و TLS

SSL (Secure Socket Layer) و TLS (Transport Layer Security) هر دو پروتکل‌هایی هستند که برای رمزگذاری داده‌ها در دنیای وب از آن‌ها استفاده می‌شود و می‌توان گفت که مهم‌ترین تفاوت SSL و TLS در تکنولوژی استفاده شده برایِ رمزگذاری و سرعت فرایند Handshake است. حالا بیایید تمامی این موارد را از ابتدا و به‌صورت ساده، یاد بگیریم.

تفاوت SSL و TLS مثلِ داشتن گاو صندوق در یک جواهر فروشی است؛ حالا شما باید تصمیم بگیرید که می‌خواهید این کلید را جایی بگذارید که همه آن را ببینند یا نه.

خرید SSL

فرق بین پروتکل HTTP و HTTPS

قبل از اینکه بخواهیم ببینیم که تفاوت دو پروتکل SSL و TLS چیست، بهتر است کمی در مورد پروتکل‌های HTTP و HTTPS اطلاعاتمان را به‌روز کنیم.

ببینید! تمام کارهایی که ما در اینترنت انجام می‌دهیم، همگی بر اساس یکسری قوانین و مقررات انجام می‌شود که ما به آن‌ها پروتکل می‌گوییم. مثلاً برای انتقال اطلاعات وب‌سایت از پروتکل HTTP یا همان پروتکل انتقال اَبَرمتن استفاده می‌شود. این پروتکل اطلاعات را در قالبِ یک متنِ خیلی واضح برای مخاطب ارسال می‌کند.

می‌دانید استفاده از این پروتکل مثلِ چیست؟ مثل این است که شما یک نامه را برای نامزدتان بنویسید، بدون اینکه درِ پاکت نامه را ببندید! بنابراین اگر پستچی وسط راه دلش بخواهد که ببیند شما به نامزدتان چه گفته‌اید، فقط کافی است نامه را دربیاورد.

در دنیای وب هم اتفاقی شبیه به همین مثال ساده می‌افتد، اگر یک هکر بتواند در میانه‌‌ی راه تبادل ارتباط کاربر وب‌سایتِ شما با سرور بنشیند، می‌تواند همه‌ی اطلاعات تبادل شده را بخواند؛ حالا این اطلاعات می‌تواند ایمیل و پسوردش باشد یا حتی تمام اطلاعات کارت‌ بانکی که از آن برای خرید اینترنتی در وب‌سایت شما استفاده شده است. به این نوع نفوذ، «حمله‌ی مرد میانی» گفته می‌شود.

برای حل این موضوع هم از رمزگذاری استفاده می‌شود و همین جاست که تفاوت SSL و TLS شروع می‌شود. HTTPS هم همان راه و رسمی است که توسط توسعه‌دهندگان وب طراحی شده است تا این عملیات رمزگذاری با امنیت بالا انجام شود.

مثلاً یکی از مواردی که در این پروتکل به آن پرداخته شده شماره‌ی پورت استفاده شده است. پروتکل HTTP از پورت ۸۰ و پروتکل HTTPS از پورت ۲۲ استفاده می‌کند؛ این دو مورد را هم به یاد داشته باشید تا سروقتِ موضوعِ اصلی یعنی تفاوت SSL و TLS برویم.

ssl و tls چیست؟
مختصری در مورد تفاوت SSL و TLS

تاریخچه‌ پروتکل SSL و TLS

اگر بخواهیم خیلی ساده به تفاوت SSL و TLS اشاره کنیم، می‌توانیم بگوییم که پروتکل TLS در واقع نسخه‌ی به‌روز شده‌ی پروتکل SSL است که هم بعضی از باگ‌های امنیتی را برطرف کرده و هم اصلاحاتی رویِ آن انجام شده که باعث رشد سرعت آن شده است.

از نظر تاریخی، پروتکل SSL اولین بار در فوریه سال ۱۹۹۵ با ورژن ۲.۰ معرفی شد. نسخه‌ی ۱.۰ این پروتکل، به‌دلیل نقص امنیت، هیچ وقت فرصت پیدا نکرد تا پایش را به دنیای وب برساند. البته خودِ SSL 2.0 هم باگ امنیتی کم نداشت. به همین دلیل بود که خیلی سریع، یعنی در سال ۱۹۹۶، با SSL 3.0 جایگزین شد.

اما هیچ هکری روی کره‌ی زمین وجود نداشت، شاید اصلاً نیازی به هیچ پروتکل امنیتی هم نبود؛ اما خُب هکرها دوباره، هم خودشان و روش‌هایشان را آپدیت کردند تا جایی که SSL 3.0 دیگر نمی‌توانست جلودارشان باشد.

همین مسئله باعث شد تا در سال ۱۹۹۹، پروتکل TLS 1.0 منتشر شود؛ پروتکلی که در اصل، یک آپدیت برای SSL 3.0 بود. از سال ۱۹۹۹ تا همین الان که شما دارید این متن را می‌خوانید، نسخه‌های دیگری هم از TLS منتشر شده است. آخرین ورژن این پروتکل، TLS 1.3 بود که در آگوست ۲۰۱۸ از آن رونمایی شد.

الان دیگر تمامی نسخه‌های پروتکل SSL به دلیل باگ‌های امنیتی کشف شده، منسوخ شده‌اند. بنابراین اگر جایی هم خواندید یا شنیدید که یک وب‌سایت از SSL استفاده می‌کند، مطمئناً منظور همان پروتکل TLS است. 

در جدول زیر، مقایسه SSL و TLS‌ از نظرِ ورژن درج شده است:

ورژن پروتکل توضیحات
SSL 1.0 به‌دلیل وجود نقص‌های آشکار امنیتی، هرگز منتشر نشد.
SSL 2.0 در سال ۱۹۹۵، کمپانی Netscape برای اولین بار SSL 2.0 را منتشر کرد اما اشکالاتی در طراحی آن وجود داشت.
SSL 3.0 SSL 3.0 برای رفع مشکلات امنیتی قبلی طراحی شد، اما این ورژن هم در سال ۲۰۰۴ به‌دلیلِ حمله‌ی POODLE ناامن تشخیص داده شد.
TLS 1.0 TLS 1.0 که نسخه بهبود یافته SSL 3.0 بود، در ژانویه ۱۹۹۹ منتشر شد. این نسخه از پروتکل امنیتی TLS امکان پشتیبانی از نسخه قدیمی SSL 3.0 را نیز فراهم می‌کرد.
TLS 1.1 در نسخه‌ی ۱.۱ پروتکل TLS، محافظت در برابر حملات CBC هم اضافه شد. اما در مارس ۲۰۲۰، گوگل، موزیلا، فایرفاکس و مایکروسافت اعلام کردند که نسخه‌های TLS 1.0 و TLS 1.1 منسوخ شده است.
TLS 1.2 به این نسخه از پروتکل TLS، امکان تعیین مشخصات هش و الگوریتم رمزنگاری مورد استفاده افزوده شد. این امر برای اولین بار امکان تعیین نحوه رمزگذاری داده‌ها را در این پروتکل فراهم کرد. همچنین، امکان تشخیص طول داده‌ها بر اساس مجموعه رمزنگاری (Cipher Suite) نیز به این پروتکل اضافه شد.
TLS 1.3 در آگوست ۲۰۱۸، TLS 1.3 معرفی شد. در این نسخه، پشتیبانی از MD5 و SHA-224 حذف شده است. همچنین در صورتی‌که بخواهید از همان پروتکل‌های قبلی استفاده کنید، نیاز به امضای دیجیتالی دارید. همچنین، از تبادل کلید مبتنی بر کلید عمومی در این پروتکل استفاده شده و خودِ فرایند Handshake هم رمزگذاری می‌شود.

احتمالاً با اطلاعات این جدول هم می‌توانید تا حد زیادی به تفاوت SSL و TLS پی ببرید، بااین‌حال در ادامه، اطلاعات بیشتری را در این مورد به شما توضیح می‌دهیم و به شما می‌گوییم که SSL/TLS چیست.

نحوه‌ ایمن‌سازی انتقال داده‌ها در SSL/TLS

برای درکِ عمیقِ تفاوت SSL و TLS، باید ببینیم که این دو پروتکل اصلاً چه‌کار می‌کنند که نتیجه‌ی آن می‌شود انتقالِ امن اطلاعات بین مرورگر کاربر و سرور وب‌سایت یا وب‌اپلیکیشن. این هدف در یک فرایند ۳ مرحله‌ای انجام می‌شود:

مرحله‌ اول: فرایند Handshake

خودِ فرایند Handshake، در ۶ مرحله انجام می‌شود:

۱. Client Hello

داستان با ارسال پیام Client Hello از کاربر به سرور شروع می‌شود. در این پیام، لیستی از آخرین نسخه‌ی پروتکل TLS پشتیبانی شده، Cipher Suiteهای پشتیبانی شده (یعنی مجموعه‌ای از الگوریتم‌های رمزنگاری، رمزگشایی و هش کردن) و یک رشته‌ بایت «تصادفی» که در محاسبات بعدی از آن استفاده می‌شود، به سمت سرور ارسال خواهد شد.

۲. Server Hello

در پاسخِ Client Hello، سرور هم پاسخی ارسال می‌کند که به نامِ Server Hello شناخته می‌شود. در این پیام، سرور نسخه‌ی پروتکل و همچنین روش رمزنگاری انتخابی را از بین همان‌ها که از سمت کلاینت دریافت کرده بود را انتخاب می‌کند. این نسخه معمولاً امن‌ترین نسخه‌ای است که هم توسط مرورگر کاربر و هم توسط سرور پشتیبانی می‌شود. همچنین، سرور رشته‌ی بایت تصادفی خود را هم در این پیام ارسال می‌کند.

راهنمای جامع نصب و راه‌اندازی گواهی SSL در وردپرس را در مقاله زیر بخوانید.

نصب SSL در وردپرس

۳. گواهینامه‌ی سرور و تبادل کلید

در گام بعدی، سرور گواهینامه‌ی دیجیتال خود را برای کاربر ارسال می‌کند. این گواهینامه شامل کلید عمومی سرور است و توسط یک مرجع صدور گواهی (CA) امضاء شده است. درصورتی‌که روش رمزنگاری، نیازمند انتقال اطلاعات اضافی برای ایجاد ارتباط امن باشد، سرور یک پیام ServerKeyExchange برای کاربر ارسال می‌کند. این پیام حاوی اطلاعات مورد نیاز برای ایجاد کلید مشترک بین کاربر و سرور است.

۴. تبادل کلید کاربر

حالا نوبتِ کلاینت است که همه چیز را چک کند. ممکن است کاربر در این مرحله، گواهی امضاء شده از سمت سرور را با لیست CAهای مورد اعتماد، اعتبارسنجی کند. اگر این اعتبارسنجی موفقیت‌آمیز باشد، با ایجاد یکسری رمز اولیه، آن را با استفاده از کلید عمومی سرور، رمزنگاری کرده و در پیامِ Client Key Exchange به سمت سرور ارسال می‌کند.

۵. تغییر گواهینامه‌ی رمزنگاری (Change Cipher Spec)

یادتان هست که گفتیم سرور و کلاینت، یکسری بایت‌های تصادفی را هم در پیام‌های Hello برای هم ارسال می‌کنند؟ حالا وقتِ استفاده از آن‌هاست؛ حالا باید هر دو طرف، کلیدهای جلسه (Session Key) را تولید کنند و بعد هم پیامِ ChangeCipherSpec را ارسال کنند. این پیام یعنی اینکه هر دو طرف قصد دارند تا با استفاده از کلیدهای جدید، رمزنگاری را شروع کنند.

۶. ارسال پیامِ آخر Finished Message

در پایان فرایند تایید کلیدهای جلسه، هر دو طرف پیغام Finished Message را برای یکدیگر ارسال می‌کنند. این پیغام نشان‌دهنده‌ی موافقت طرفین با استفاده از کلیدهای جلسه است. با ارسال این پیغام، جلسات رمزنگاری می‌توانند آغاز شوند.

ssl/tls چیست؟
SSL و TLS چه تفاوتی باهم دارند؟‌

مرحله‌ دوم: انتقال امنِ داده‌ها

تا این مرحله که بینِ پروتکل SSL و TLS مشترک است، کانال‌های امن برای انتقال داده‌ها تعریف شده است. حالا نسبت به نوعِ سیستم انتقال، داده‌ها می‌توانند به چند قسمت تقسیم شوند، به‌صورت اختیاری فشرده شوند و با استفاده از کلید جلسه، رمزگذاری شوند. حالا همه چیز برای شروع انتقال فراهم است؛ تنها نکته‌ی اضافی که این وسط وجود دارد، کد تایید پیام (MAC) است که برای یکپارچگی ارسال می‌شود.

مرحله‌ سوم: تداوم در ایمن‌سازی ارتباط

کلیدهای جلسه یا همان Session Keyها باید برای هر ارتباط، به‌روز شوند. این به‌روزرسانی کلیدها در هر دو پروتکل TLS‌و SSL، در فرایند Handshake اتفاق می‌افتد. با این روش، حتی اگر هکرها بتوانند کُدهای رمزنگاری شده را بشکنند، فقط به همان دسته‌ اطلاعاتی که در همان Session جابه‌جا شده دست پیدا می‌کنند. این مرحله را Renegotiation هم می‌گویند.

گواهی SSL چیست و چگونه کار می‌کند؟ مزایا و معایب استفاده از SSL چیست؟ انواع SSL چه تفاوتی با هم دارند؟ در مقاله زیر بخوانید.

SSL چیست؟

مهم‌ترین تفاوت SSL و TLS

خیلی خُب! اطلاعات بنیادینی که تا الان به‌دست آورده‌ایم، می‌تواند به ما کمک کنند تا تفاوت SSL و TLS را خیلی عمیق‌تر متوجه شویم. مهم‌ترین تفاوت بین این دو پروتکل، در ادامه توضیح داده شده است:

۱. تفاوت SSL و TLS در Cipher Suiteها

اولین تفاوت بین SSL و TLS، در مجموعه‌های رمزنگاری (Cipher Suite)‌هایی است که هر یک از آن‌ها پشتیبانی می‌کنند. پروتکل SSL از مجموعه‌های رمزنگاری‌ای پشتیبانی می‌کرد که اگر چه در زمان خود مشکلات امنیتی را حل می‌کردند، اما اکنون دیگر منسوخ شده‌اند. نمونه آن سیستم رمزگذاری Fortezza است که زمانی یکی از الگوریتم‌های رمزگذاری دولتی بود، اما منسوخ شد.

اما تفاوت اصلی بین SSL و TLS در این است که پروتکل TLS از الگوریتم‌های جدیدتر و به‌روزتری در رمزگذاری داده‌ها استفاده می‌کند؛ مانند الگوریتم RC4 که البته این مورد هم منسوخ شده و الگوریتم‌های جدیدتر AES ،Triple DES و IDEA به میان آمده‌اند.

۲. تفاوت SSL و TLS در پیغام‌های هشدار

یکی دیگر از تفاوت SSL و TLS، پیغام‌های هشداری است که در مواقع بحرانی صادر می‌کنند. تفاوتی که از آن حرف می‌زنیم این است که مجموعه هشدارهای SSL شامل یک پیغام No Certificate است که اگر کاربر گواهی لازم را صادر نکند، این پیغام صادر می‌شود.

اما برعکس در پروتکل TLS، هشدار No Certificate حذف شده و در عوض مجموعه‌ی به‌روزتر و ایمن‌تری از پیغام‌های هشدار را صادر می‌کند. این هشدارها حالت توصیفی‌تری دارند و مسائلی را که ممکن است در طول اتصال اتفاق بیفتد را توضیح می‌دهند.

۳. تفاوت SSL‌ و TLS در پروتکل Record

پروتکل Record نحوه بسته‌بندی و انتقال داده‌ها را مشخص می‌کند. این پروتکل یکی دیگر از تفاوت‌های SSL و TLS است. لایه‌ی رکورد SSL از احراز هویت MAC استفاده می‌کند که حداقل الان دیگر سیستم قدرتمندی نیست. اما پروتکل TLS برای احراز هویت پیام، از الگوریتم HMAC استفاده می‌کند که یک سیستم مبتنی بر هش است و امنیت بیشتری هم دارد.

تفاوت دو پروتکل ssl و tls چیست؟
بررسی تفاوت‌های SSL و TLS

۴. تفاوت SSL و TLS در فرایند Handshake

یکی از باگ‌های امنیتی پروتکل SSL که قبلاً در مورد آن توضیح دادیم و باعثِ حمله‌ی POODLE هم شد، به‌دلیل نقص در فرایند Handshake رخ داد. این نقص امنیتی در پروتکل TLS رفع شد و با کاهش تعداد رفت‌وآمدهای موردنیاز برای این فرایند، هم سرعت کار را افزایش داد و هم امنیت بالاتری را ایجاد کرد.

۵. تفاوت در سازگاری با مرورگرها

تقریباً دیگر هیچ مرورگری را پیدا نمی‌کنید که همچنان از SSL پشتیبانی کند. اما پروتکل TLS در مرورگرهایِ به‌روز و معروف پشتیبانی می‌شود و مطابقت بالایی هم با آن‌ها دارد.

تاثیر استفاده از SSL و TLS بر سئو

اکنون که جنبه‌ها، شباهت‌ها و تفاوت SSL و TLS را بررسی کردیم، بیایید به تأثیر آن‌ها بر SEO (بهینه‌سازی موتور جستجو) بپردازیم. گوگل، در آخرین رتبه‌بندی‌هایش امنیت وب‌سایت را به یک عامل رتبه‌بندی تبدیل کرده است. این یعنی وب‌سایت‌هایی که از HTTPS با رمزنگاری SSL/TLS استفاده می‌کنند، در مقایسه با سایت‌های HTTP ناامن، در رتبه‌بندی موتورهای جستجو افزایش می‌یابند.

می‌خواهید بدانید استفاده از SSL چه تاثیری بر سئو وب‌سایت‌ها دارد؟ ۷ تاثیر مهم SSL روی سئو سایت را در مقاله زیر بخوانید.

تاثیر SSL در SEO

SSL یا TLS؛ کدام را انتخاب کنیم؟

اطلاعاتی که تا این قسمت در مورد تفاوت SSL و TLS به‌دست آوردیم، یک نتیجه‌ی مشخص دارد: اصولاً الان دیگر چیزی به اسمِ پروتکل SSL وجود ندارد که بخواهیم آن را انتخاب کنیم؛ هر چه است، در واقع همان پروتکل TLS است که برخی اوقات به اشتباه، به اسمِ SSL‌ خوانده می‌شود. بنابراین الان ما فقط یک انتخاب داریم: استفاده از پروتکل TLS که امنیت بیشتری دارد و سرعت احراز هویت و رمزگذاری داده‌ها را بیشتر می‌کند.

سایتتان را ایمن و خاطرِ مشتریانتان را جمع کنید!

سایت‌های زیادی گواهی SSL/TLS می‌فروشند. اما پارس پک، فقط فروشنده نیست. تیم پشتیبانی ما ۲۴ ساعته در ۷ روز هفته، حتی روزهای تعطیل، آماده پاسخگویی به سوالات کاربران است تا در فرایند ایمن‌سازی وب‌سایتشان به آن‌ها کمک کند. ما این گواهی را از معتبرترین مراجع صدور گواهی (CA) در اختیارتان قرار می‌دهیم تا امنیت سایت شما را تضمین کند. همین حالا روی لینک زیر کلیک کنید و یک گواهی SSL/TLS سفارش دهید.

جمع‌بندی

تفاوت SSL و TLS از سؤالات پرتکراری است که ممکن است برای همه‌ی ما پیش آمده باشد. پروتکل TLS در واقع ورژن به‌روزتر SSL است که مشکلات امنیتی آن را برطرف کرده است. در این مطلب از آموزش امنیت بلاگ پارس پک این دو پروتکل را از نظر تکنیکال با هم مقایسه کرده‌ایم.  اگر راجع به تفاوت SSL و TLS سوال یا ابهامی دارید، در بخش دیدگاه‌های این مقاله نظراتتان را برای ما ارسال کنید تا به‌سرعت به آن‌ها پاسخ دهیم.

سؤالات متداول

۱. تفاوت SSL و TLS چیست؟

پروتکل TLS در واقع نسخه‌ی به‌روزشده‌ی SSL است که سرعت رمزگذاری و امنیت آن بیشتر شده است.

۲. آیا هنوز از پروتکل SSL هم استفاده می‌شود؟

خیر، با رویِ کار آمدن پروتکل TLS در سال ۱۹۹۹، تمامی نسخه‌های SSL منسوخ شد و دیگر از آن‌ها استفاده نمی‌شود.

۳. آیا SSL و TLS در نوع رمزگذاری هم تفاوت دارند؟

بله. SSL از Cipher Suiteهایی استفاده می‌کرد که مشکلات امنیتی دارند و سرعت آن‌ها نیز پایین‌تر از Cipher Suiteهایی است که در پروتکل TLS از آن‌ها استفاده می‌شود.

منابع:baeldung

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


ارسال دیدگاه در وبلاگ پارس‌پک را مطالعه کرده و آن‌ها را می‌پذیرم.